Web会議サービス「Zoom」に、PCが乗っ取られ勝手に操作されてしまうほどの脆弱性が存在していたことが明らかになった。この脆弱性はZoomも参加した公式なハッキングコンテストで発見されそのままZoomに報告されたことから、すでにZoomも対応済みで現在までに同様の手口による被害は報告されていないという。しかし、流行語大賞にもノミネートされるほど世界的に利用されるようになったサービスに、思わぬ落とし穴があったことは間違いない。
今回は、コロナ禍で大きくシェアを伸ばした人気サービスに潜む不安の種について考えていきたい。
Zoomに重大な脆弱性があることが明らかに
(画像=Image:DANIEL CONSTANTE / Shutterstock.com、2020年には“Zoom飲み”という言葉も流行した、『オトナライフ』より引用)
今回Zoomの脆弱性が発見されたのは、世界トップクラスの脆弱性発見コミュニティ「Zero Day Initiative」の主催するハッキングコンテスト「Pwn2Own 2021」でのことだった。このコンテストでZoomのセキュリティの脆弱性を発見した参加者には、Zoomから懸賞金が支払われるシステムだ。
その中でZoom Chatの機能に脆弱性が見つかった。その脆弱性が悪意あるハッカーに利用されると、PCのカメラ・マイクのオンオフ操作やスクリーンショットの撮影といった操作が行われたり、ブラウザの閲覧履歴やメール等も確認することができてしまうことがわかった。まさに「PCが乗っ取られる」という状況に陥ってしまうのだ。
しかしこの脆弱性が見つかったのがコンテストだったのが不幸中の幸い。脆弱性の存在はすぐにZoomに報告され、発見者には20万ドルの賞金が贈られたという。またZoomも原因がアプリではなくサーバ側にあったことから即座に対応を行い、現在はこの脆弱性は利用できなくなっている。