Zoomが深刻なアカウント乗っ取りの脆弱性をWindows向けに修正

eSecurity Planet のコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。当サイトはパートナーへのリンクをクリックいただくことで収益を得る場合があります。 詳細はこちら

Zoomのウィンドウズ向けソフトウェアに存在する深刻な脆弱性により、認証を受けていない攻撃者がネットワーク経由でユーザーアカウントを乗っ取れる可能性があることが分かりました。 

今回の最新のセキュリティリリースでは、権限管理や権限昇格に関わる複数の深刻度「高」の脆弱性にも対処しています。 

ManageEngineのテクノロジー部門ディレクターであるRomanus Prabhu Raymond氏は、eSecurityPlanetへのメールで次のように述べています。「脆弱性の通知が出されると、こうした魅力的で価値の高い標的の制御をめぐって、組織のエンドポイント戦略とハッカーとの間で競争が始まります」

Zoomの脆弱性に関する要点

  • Zoomは、認証を受けていない攻撃者によるネットワーク経由のアカウント乗っ取りを許す可能性のあるWindows向けの深刻な脆弱性(CVE-2026-53412)を修正
  • 今回の最新セキュリティリリースでは、ローカルでの権限昇格を可能にする恐れがある深刻度「高」のWindows向け脆弱性3件も修正
  • CVE-2026-53412のCVSSスコアは9.8で、今回のZoomの最新アップデートで対処された問題の中で最も深刻
  • 現時点でこれらの脆弱性が実際に悪用されているという証拠はないものの、組織は提供されているアップデートの適用を優先すべき
  • セキュリティチームは、アカウント侵害のリスクを低減するため、パッチ管理・ID管理・監視体制の強化を進める必要あり

Zoomの脆弱性の仕組み 

今回のZoomの最新セキュリティリリースで対処された問題の中で最も深刻なものが、CVSSスコア9.8を記録した深刻な脆弱性CVE-2026-53412です。 

CVE-2026-53412:深刻なアカウント乗っ取りの脆弱性

CVE-2026-53412は、入力値の検証が不適切であることに起因する脆弱性です。 

入力値検証の不備は、ソフトウェアがデータを処理する前に適切な確認やサニタイズを行わない場合に発生し、想定外の入力や悪意ある入力によって意図しない動作が引き起こされる可能性があります。

この脆弱性により、ネットワークにアクセスできる認証されていない攻撃者が、影響を受けるシステム上でアカウントの乗っ取りを行える可能性があります。 

Zoomは具体的な悪用経路については明らかにしていませんが、攻撃が成功すれば、有効な認証情報を必要とせずにZoomアカウントへ不正アクセスできる恐れがあります。

CVE-2026-53410:インストール時の権限昇格

CVE-2026-53410は、TOCTOU(time-of-check to time-of-use)と呼ばれる競合状態の脆弱性です。これは、ソフトウェアがリソースやセキュリティ条件を検証した後、実際に使用するまでの間にその状態が変化していないことを保証できない場合に発生する種類の脆弱性です。 

このタイミングの隙を突くことに成功した攻撃者は、検証と実行の間でリソースを操作できます。

今回のケースでは、認証済みのローカルユーザーが、影響を受けるZoom製品のインストールまたはアンインストール中にこの競合状態を悪用し、権限を昇格させる可能性があります。 

悪用に成功すると、限られた権限しか持たないユーザーが昇格されたシステム権限で操作を実行できるようになり、Windowsエンドポイントに対する不正な変更やさらなる侵害のリスクが高まります。

CVE-2026-53409:Zoom Roomsの権限管理の不備

CVE-2026-53409は、Windows向けZoom Roomsに影響する権限管理の不備に関する脆弱性です。 

権限管理の不備は、ソフトウェアがユーザー権限を正しく強制・制限できない場合に発生し、本来意図された範囲を超えた操作をユーザーが実行できてしまう可能性があります。

ローカルアクセス権を持つ認証済みユーザーがこの脆弱性を悪用すれば、影響を受けるシステム上で権限を昇格させることができます。 

ローカルアクセスが前提条件ではあるものの、権限昇格の脆弱性は他の攻撃と組み合わせて連鎖的に使われ、侵害された端末の管理者権限を奪取する手口として頻繁に利用されます。

CVE-2026-53411:VDIプラグインの入力値検証の不備

深刻なアカウント乗っ取りの問題と同様、CVE-2026-53411も入力値の検証が不適切であることに起因しています。 

この種の脆弱性は、ソフトウェアが想定外または不正な形式の入力を十分に検証しないまま受け入れてしまう場合に発生し、攻撃者がアプリケーションに意図しない動作を引き起こすきっかけとなる可能性があります。

ローカルアクセス権を持つ認証済みユーザーは、Windows向けZoom Workplace VDIプラグインに存在するこの不備を悪用し、権限を昇格させることができます。  

Zoomの脆弱性への対策方法 

これらの脆弱性が実際に悪用されているという証拠は現時点でありませんが、組織はリスクを低減するため早急に対応すべきです。 

  • Zoom Workplace、VDIクライアント、Meeting SDK、Zoom Roomsの導入状況をすべて棚卸ししたうえで、サポート対象のインストールをアップグレードし、管理外・旧式・廃止済みのコンポーネントを削除して攻撃対象領域を縮小してください。 
  • コラボレーションプラットフォーム、VDI環境、サードパーティ製SDKを脆弱性管理とパッチ適用のプログラムに確実に含めてください。
  • 多要素認証(MFA)を導入し、最小権限の原則を適用することで、アカウント侵害のリスクと影響を抑えてください。
  • Zoom関連の不審な挙動が悪用の試みを示唆していないか、エンドポイントおよび認証活動を監視してください。 
  • コラボレーションプラットフォームに関連するセキュリティリスクを把握するため、サードパーティリスクの評価を継続的に実施してください。
  • アカウント乗っ取りに関するシナリオを想定し、シミュレーションツールやテーブルトップ演習でインシデント対応計画を定期的にテストしてください。

これらの対策を組み合わせることで、組織は全体的なリスクを低減し、レジリエンスを高めることができます。

結論

これらの脆弱性が実際に悪用されているという報告は現時点でありませんが、組織はこの機会に、自社のセキュリティプログラムにおいてコラボレーションプラットフォームがどのように管理されているかを見直すべきです。 

セキュリティチームは、コラボレーションソフトウェアが企業の脆弱性管理・セキュリティ監視・インシデント対応の各プロセスに一貫して組み込まれているかを確認する必要があります。 

こうした取り組みを補完するのが、企業リソースへのアクセスを許可する前にユーザー・デバイス・アプリケーションを継続的に検証するゼロトラストソリューションです。

翻訳元: https://www.esecurityplanet.com/threats/zoom-patches-critical-account-takeover-vulnerability-for-windows/

ソース: esecurityplanet.com