WebexとZoomのビデオ会議の多くがパスワードで保護されていないために外部から侵入できることを、セキュリティ研究者のチームが発見した。
画像:Getty Images
スクレイピングとアカウント乗っ取りからのアプリの保護を専門とするスタートアップ、Cequenceの研究チームは、有効なミーティングIDのリストをサイクルしアクティブなビデオ会議にアクセスするボットを作った。多くの企業とユーザーが、面倒を省くため、あるいはデフォルトの設定を確認していないために、ミーティングにパスワードをかけていない。そしてミーティングIDのストックも限られている。こうしたことが脆弱性につながった。
プラットフォームのAPIを攻撃対象にすることで、プロセスを自動化することができた。研究チームはこの欠陥を7月にWebexのメーカーであるCiscoとZoomに報告した。その後、両社とも修正プログラムを公開した。サイレントに攻撃できるわけではなく、ミーティングへのアクセスに成功したことは通知される。
Ciscoは、このプラットフォームでの脆弱性の悪用は「認識していない」と語った。Zoomは、研究チームに「感謝している」とし、ボットの攻撃を防ぐようサーバの保護を強化したという。
Zoomは7月に、ユーザーがアプリをアンインストールした際にMacからウェブサーバが取り除かれず、セキュリティ上の危険があるとして問題になった。同社はこの問題を修正したが、その後AppleはすべてのMacユーザーを保護するためにアップデートを配信する事態となった。
Cequenceは2月にDell Technologies CapitalとShasta Venturesが支援したシリーズBで1700万ドル(約18億2000万円)を調達し、これまでの合計調達額は3000万ドル(約32億円)になった。
[原文へ]
(翻訳:Kaori Koyama)
