新型コロナウイルスのパンデミックにより、世界中の人々が自宅に留まることを余儀なくされています。そのため通話やビデオ会議のソフトウェアは利用が急拡大しています。競合するソフトウェアは多数存在していますが、実際に注目されているのは 1、2 個です。その中でもメディアやユーザから絶大な注目を集めているのが Zoom です。
その Zoom について Cisco Talos は本日、ユーザアカウントを列挙される脆弱性を公開します。特定組織内の Zoom ユーザリストを攻撃者が取得できる可能性があります。ビデオ会議ソフトウェアのセキュリティについては、何が脆弱性で何が違うか、そしてどのような対策が必要かについて、数多くの議論がなされてきました。この記事では、そうした議論については触れません。今回の開示は、ユーザのセキュリティとプライバシーを保護するための、Talos の脆弱性開示ポリシーに沿っています。
脆弱性の詳細
脆弱性の発見者:Cisco Talos
TALOS-2020-1052 – Zoom で確認された、登録ユーザを列挙される脆弱性
Zoom は、チャット機能なども提供するビデオ会議ソリューションです。チャット機能では組織内の連絡先を検索できます。チャットは XMPP 標準に基づいているため、クライアントはグループ名を指定する「group query」 XMPP 要求を送信します。Zoom の XMPP 実装では、このグループ名が実際には登録時の電子メールドメイン(例:cisco.com)になります。
今回の脆弱性は、そのドメインに XMPP 要求元のユーザが実際に属しているか確認しないことに起因します。これにより、登録ドメインの連絡先リストを誰でも取得できる危険性があります。脆弱性をエクスプロイトするには、攻撃者が有効なアカウントで認証を通過し、Zoom にログインできている必要があります。攻撃者はその後、arbitrary_domain.com のドメインに関連付けられたユーザリストを受信すべく、以下の内容の XMPPメッセージを送信できます。
<iq id='{XXXX}’ type=’get’ from=’unknown_xmpp_username@xmpp.zoom.us/ZoomChat_pc’ xmlns=’jabber:client’>
<query xmlns=’zoom:iq:group’ chunk=’1′ directory=’1′>
<group id=’arbitrary_domain.com’ version=’0′ option=’0’/>
</query>
</iq>
それに対して Zoom サーバは、ドメインに登録されているユーザのディレクトリを開示します。開示される内容には、自動生成された XMPP ユーザ名や、ユーザの姓名などの詳細も含まれます。詳細情報を他の XMPP クエリと組み合わせることで、vCard に含まれる電子メールアドレスや電話番号といった情報も取得される危険性があります。多数のユーザが今回初めてビデオ会議を利用しているため、大規模な攻撃対象領域が生じています。しかし今回はクラウド(サーバ側)の問題であるため、慣例に従い CVE は割り当てられていません。
攻撃のシナリオ
リモートワークに関連したリスクを組織も認識しておく必要があります。その一例が、パンデミックに便乗したソーシャルエンジニアリング攻撃です。
今回の脆弱性では、組織内の Zoom ユーザについて電子メールアドレス一覧を入手すべく、スピアフィッシング攻撃で従業員が狙われる可能性もあります。特にリスクが高いのは、テレワークを始めるため数種類のソフトウェアを新たにインストールしたユーザです。こうしたユーザは、ソーシャルエンジニアリング攻撃の電子メールに騙され、「Zoom クライアント」を装ったトロイの木馬を実行してしまう危険性が高いからです。
ごく短期間でビデオ会議がビジネスクリティカルな機能になったことで、攻撃者もより積極的に脆弱性を突いてくると予想されます。雇用者も今回のようなリスクを認識し、必要な対策をとる必要があります。
脆弱性が確認されたバージョン
Talos では、2020 年 4 月 9 日時点の Zoom に本脆弱性が影響することをテストして確認済みです。
修正プログラムの提供状況
記事の公開時点では、すでに問題が修正されているようです。今回の脆弱性はクラウド側(Zoom 社のインフラ)の問題であるため、ユーザや管理者による操作は必要ありません。
本稿は 2020年4月21日に Talos Group
のブログに投稿された「 Vulnerability Spotlight: Zoom Communications user enumeration
Authors