Apple、Zoomソフトウェアの脆弱性に対処するため新たなサイレントアップデートをリリース

7/16 更新: Apple は、Zoom のローカルホストサーバーを使用している可能性のある他のアプリに対処する、macOS へのサイレントアップデートをさらに 2 つ発行しました。

Appleは、Mac上でユーザーの知らないうちに稼働している可能性のあるZoomサーバーをシャットダウンするためのさらなる措置を講じています。ZoomがMacアプリのパッチをリリースしてから1週間後、Macからローカルホストのウェブサーバーを削除し、ユーザーがメニューバーからアプリを手動でアンインストールできるようになりました（パッチはこちらからダウンロードできます）。Appleは、バックグラウンドで稼働しているサーバーをシャットダウンするための2回目と3回目のアップデートをリリースしました。

このアップデートは、Zoom の技術を使用する RingCentral アプリと Zhumu アプリの同様の問題に対処します。

セキュリティ研究者のジョナサン・ライチュー氏は7月8日のMediumへの投稿で、Zoomアプリの脆弱性を公開した。この脆弱性により、ウェブサイトがユーザーの知らないうちに、あるいは許可なくMacのカメラにアクセスできる可能性がある。ライチュー氏の説明によると、この脆弱性はZoomがシンプルさを追求した結果のようだ。Zoomのサービスは、Zoomミーティングのリンクを誰かに送信するだけで、相手のマシンにインストールされているZoomクライアントが自動的に起動する。ライチュー氏によると、アプリを削除した場合でも、ZoomはMac上でlocalhostウェブサーバーをサイレントモードで実行しているため、リンクをクリックするとZoomクライアントが再インストールされ、ウェブページにアクセスするだけでユーザーによる操作は一切不要だという。

Zoomの説明によると、AppleがSafari 12に実装した「毎回のミーティングに参加する前に、Zoomクライアントを起動するかどうかを確認する」という変更により、この機能が損なわれました。そのため、Zoomはユーザーのクリック操作を省くため、「ユーザーエクスペリエンスの低下という問題に対する正当な解決策」として、localhostウェブサーバーを導入しました。同社は、MacがDOS攻撃を受けたという証拠はないと主張しており、この脆弱性を「経験的に低リスクの脆弱性」と表現しています。また、今後数週間以内に脆弱性公開プログラムを実施することも発表しています。

しかし、世界中の何十万台もの Mac でローカルホストの Web サーバーを密かに実行するという手法を超えて、Leitschuh 氏は「Web サイトがユーザーの許可なく、ビデオカメラを起動した状態でユーザーを強制的に Zoom 通話に参加させることができる脆弱性」を発見しました。また、「無効な通話にユーザーを繰り返し参加させることで、Web ページから Mac に DOS (サービス拒否) 攻撃を仕掛けることも可能になります」。

ライチュー氏によると、Zoomは3月に連絡を受けた後、脆弱性の開示に手間取り、6月下旬になってようやく「応急処置」を実施したという。しかし、同氏が月曜日にMediumへの投稿を公開した後、同社は真の修正ではなく回避策で対応した。「この懸念を踏まえ、ユーザーがビデオ設定をさらに細かく制御できるようにすることにしました。2019年7月に予定しているリリースの一環として、Zoomはユーザーのビデオ設定を最初のZoomミーティングから保存し、今後のすべてのZoomミーティングに適用します。ユーザーとシステム管理者は、引き続きクライアントのビデオ設定でミーティング参加時にビデオをオフにすることができます。この変更はすべてのクライアントプラットフォームに適用されます。」