コロナによる在宅ワークで話題になったZoomセキュリティネタまとめ

新型コロナウイルス(COVID-19)の流行により、在宅ワークをおこなう方が多くなったかと思います。

そんな中、在宅ワークに不可欠なZoom、FaceTime、Skypeなどのビデオ会議ツールへの攻撃が世界的に流行っているようです。

特に人気で利用者も多いZoomは脆弱性が見つかるなどの問題が多く上がってきていますので個人的にまとめていこうと思います。

※今後Zoomを使う方へのあくまで注意してほしい内容です。
　使うな！とかじゃないですからね…

2020年4月3日までのZoom調査内容

Zoom社からメッセージがありました。 blog.zoom.us

記事の内容の抜粋

For the past several weeks, supporting this influx of users has been a tremendous undertaking and our sole focus. We have strived to provide you with uninterrupted service and the same user-friendly experience that has made Zoom the video-conferencing platform of choice for enterprises around the world, while also ensuring platform safety, privacy, and security. However, we recognize that we have fallen short of the community’s – and our own – privacy and security expectations. For that, I am deeply sorry, and I want to share what we are doing about it.

これをふまえてどんな問題があったかは以下に記載しています。

Zoomの人類皆家族(社長目線)問題

この問題を簡単に説明すると、気づかない間に約数千人の見知らぬユーザがすべて同じ会社に属しているように扱っており、見知らぬユーザ全員が参加可能なビデオ通話おこなっていたようです。

原因は、Zoomの「会社ディレクトリ」設定です。

本来ならば、サインアップした際会社のメールアドレスでログインをおこえば、同じメールアドレスのドメインを持つ同僚のユーザが連絡先リストに自動で追加される機能なのですが、個人の電子メールアドレスでサインアップした場合、同じメールドメインでログインしているユーザが連絡先リストに自動追加されるようです。

複数のZoomユーザが個人の電子メールアドレス(~~@gmail.com~~とか)でサインアップしていると、Zoomは同じメールドメインでログインしている何千人ものユーザを、同じ会社で働いているかのようにプールしてしまうので、個人情報を見ることやWEB会議に参加して情報を聞くことがお互いにできてしまいます。

参考記事 www.vice.com

"If you subscribe to Zoom with a non-standard provider (I mean, not Gmail or Hotmail or Yahoo etc), then you get insight to ALL subscribed users of that provider: their full names, their mail addresses, their profile picture (if they have any) and their status. And you can video call them," Gehrels said. A user still has to accept the call from the stranger for it to start, however.

gmail.comとかyahoo.co.jpとかメジャーなドメインはとかは対策されてました。

IOS版ZoomのFacebookデータ送信問題

リモートワークで注目を浴びていたZoomですが、
プライバシーポリシーに明確な記載がないですが、iOS版のZoomアプリに仕込まれたSDKを通じFacebookに端末データを送信していたという調査結果が報告されました。

記事によるとFacebookアカウントを持っていない場合でもFacebookにデータを送信しているようで、
iOS版のZoomアプリがFacebookにデータを送信している理由もプライベートポリシーに記載されていないため謎のままです。

この件について、Zoom広報は数日後に、「Facebook SDKが情報取得をしていることに気づかなかった」といっているようです。

詳細記事 www.vice.com

Windows版Zoomの脆弱性

ZoomのWindows版クライアントでは、ユーザのネットワーク認証情報が漏れる脆弱性が発見されました。

問題になったのは、テキストメッセージに含まれるURL文字列をハイパーリンク化するZoomの機能です。本来ならば、ユーザはWindowsネットワーク上にあるOutlookやファイルサーバのURLをクリックすればそこに簡単にアクセスできるメリットがあります。ただ、このZoomの機能はUNCと呼ばれるローカルのフォルダへアクセスするための文字列もハイパーリンク化してしまいます。

仮に¥¥ホスト名¥共有名¥パスといった文字列もアクセス可能なURLとして外部に共有してしまうため、これをクリックすればコンピューターはローカルにある場合と同じようにリモートからアクセスを試みてしまいます。

まぁつながりませんが…

しかし、攻撃者が¥¥攻撃者ホスト¥共有名¥C$といったUNCを投げてきたとき、相手がそのハイパーリンクをクリックさえすれば、攻撃者には相手のWindowsネットワーク上のユーザー名とパスワードハッシュが返されてしまいます。
この情報を手に入れた攻撃者は、Pass the Hashと呼ばれる一種のなりすまし攻撃が可能な状態になり、相手のPCやWindowsネットワークへの侵入の危険性が高まってしまいます。

参考記事 www.bleepingcomputer.com ※この記事には資格情報がリモートサーバーに送信されないようにする設定も記載されています！

japanese.engadget.com

2020年4月3日：Windows認証情報が盗まれる脆弱性が修正された pc.watch.impress.co.jp

MacOS版Zoomのゼロデイ

ZoomのMacOS版では2つのゼロデイが公開されました。

root権限への権限昇格

Zoomインストーラーは、権限付きの権限実行のAPIを呼び出して、さまざまな特権付きインストールタスクを実行できる状態になっているようです。

さらに恐ろしいのは、このインストールタスクにはroot権限への特権昇格につながる脆弱性を含まれてます。

Appleは権限付きの権限実行のAPIでは非推奨であり、使用すべきではないことを明確に述べていますが、APIはroot権限で実行されるバイナリを検証しないため、権限のない攻撃者またはマルウェアが、/ (root)ディレクトリ内の情報を改ざんまたは置換することで、root権限へ昇格できる可能性あります。

root権限へ昇格されるとMacOS内でできないことはなくなってしまいますので、
好きなだけ情報も盗まれてしまいます。