Zoomのワークプレイスに重大な欠陥、未認証の攻撃者がアカウントを乗っ取り可能に

Zoomは、同社のWindowsクライアントソフトウェアに重大な脆弱性が存在することを公表しました。この脆弱性を悪用すれば、未認証の攻撃者がネットワーク経由でユーザーアカウントを乗っ取ることが可能になります。

CVE-2026-53412として追跡され、通知ZSB-26014で詳しく説明されているこの欠陥は、Windows版Zoom Desktop Client、Windows版Zoom VDI Client、そして(以前のバージョンでは)Windows版Zoom Meeting SDKにおける不適切な入力検証に起因します。

この問題を特定したのはZoomのオフェンシブセキュリティチームで、CVSSスコアはベクター文字列AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hのもとで最高深刻度となる9.8を記録しています。

このベクター文字列がすべてを物語っています。攻撃はネットワーク経由で、複雑さは低く、権限やユーザー操作を一切必要とせず、機密性・完全性・可用性のいずれも最高レベルで侵害されうるということです。

実際のところ、攻撃者は認証情報も、フィッシングによるクリックも、物理的なアクセスも必要としません。脆弱なクライアントにネットワーク経由で到達できさえすればよいのです。

不適切な入力検証の脆弱性は一般に、アプリケーションが処理前にデータを適切にサニタイズまたは検証できていない場合に発生し、予期しない動作を引き起こす扉を開いてしまいます。

今回のケースでは、この弱点が完全なアカウント乗っ取りの経路につながります。つまり攻撃者は、認証を一切行わずに被害者のZoomアイデンティティを乗っ取ったり、会議データにアクセスしたり、連携している企業リソースへ侵入したりできる可能性があるということです。

企業、政府機関、教育機関でZoomが広く使われていることを考えると、この脆弱性が未認証で悪用できるという性質は、リスクを大きく高めるものです。ソーシャルエンジニアリングや内部関係者によるアクセスを必要とする脆弱性とは異なり、この脆弱性は悪用のハードルを大幅に下げています。

注目すべき点として、Zoomは初回公開の1日後にあたる2026年7月15日に通知を改訂し、影響を受ける製品リストからMeeting SDK for Windowsを除外しました。これは、当初SDKが誤って特定されていたか、その後の社内での詳細な調査を経て影響を受けないと判断されたことを示唆しています。

この脆弱性は、Zoom Offensive Securityによって特定・報告されました。同チームは、外部の攻撃者が悪用する前に、Zoom自社製品の欠陥を先回りして探し出すことを任務とする社内のレッドチーム部門です。

この脆弱性は未認証かつゼロクリックで悪用可能な性質を持つため、パッチ適用が遅れれば、日和見的な攻撃と標的型攻撃の両方にシステムがさらされたままになります。

この脆弱性が未認証かつゼロクリックで悪用可能であることを踏まえ、組織はDesktop版・VDI版の両方を含む、Windowsベースのすべてのzoomクライアントを直ちに修正版へアップデートする必要があります。

VDI環境は特に優先的に対応すべきです。複数のユーザーが同時に利用する共有または一元管理されたZoomインスタンスをホストしていることが多いためです。

最後に、管理者は開示後、Zoomアカウントの活動ログを注意深く監視し、悪用の試みを示唆する不正アクセスの兆候がないか確認する必要があります。

より強力なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから得られるライブ脅威フィードを統合

翻訳元: https://cyberpress.org/critical-zoom-workplace-flaw/

ソース: cyberpress.org