Windows認証情報が盗まれるZoomの脆弱性が即修正

　オンライン会議ツールを提供しているZoomは1日(現地時間)、ZoomのWindowsクライアントを介してUNC(Universal Naming Convention)パスを使用するさいに、Windowsの認証情報が盗まれてしまう脆弱性を修正したと発表した。

　ZoomにおいてUNCパスがクリックされると、Windowsのファイル共有プロトコルであるSMBは、ユーザーのログイン名とNTLM(NT LAN Manager authentication)認証のパスワードハッシュを使ってリンク先を開こうとするが、このハッシュをパスワード復元ツールを使うことで取得できてしまうという脆弱性が存在していた。この脆弱性が明らかになってからわずか1日で修正された格好だ。

　同社創業者兼CEOであるEric S. Yuan氏が投稿したブログによれば、2019年12月末時点で、Zoom上で行なわれた1日の会議参加者数は最大で約1,000万人だったが、新型コロナウイルスによる影響で在宅勤務が進むなか、2020年3月時点で1日の会議参加者数は2億人へと急激に膨れ上がったという。

　こうした急激な利用増は、同社にとって大変な作業となっており、そのなかでもサービスを中断せず、ユーザーフレンドリーな体験を提供するよう努めてきた。しかし、そのなかでも、プライバシーやセキュリティへの期待を応えられなかったことに対して深くお詫びするとともに、問題を真剣に受け止めサービスを改善するとした。

　同社はこの数日間で、Zoomを使いこなすためのトレーニングとチュートリアルのウェビナー、毎日のライブデモといったリソースを積極的に発信しているほか、招待されていない参加者の嫌がらせに対処できるブログの公開、iOSクライアントのFacebook SDKの削除による不要なデバイス情報の収集の取りやめ、プライバシーポリシーの更新、K-12専用のプライバシーポリシーや使い勝手の改善、出席者のアテンショントラッカー機能の完全削除、Mac関連の問題の修正、LinkedIn Sales Navigatorアプリの恒久的な削除などを行なった。