Windows版Zoomに脆弱性が判明し、全社員にZoomをインストールするなと言う指令が出てしまった話

まとめました。
43
kzksgur() @KazukiSUGIURA

NEO-LIBERAL ADULT CONTEMPORARY

kzksgur() @KazukiSUGIURA

Zoom使うな、どうしても使わなきゃいけない時はブラウザでやれ、デスクトップアプリはWindows・Mac問わず絶対入れるな、入れてたらアンインストールしろ、という指令が本日全社員に出されました japan.zdnet.com/article/351517…

2020-04-02 19:44:24
リンク ZDNet Japan 「Zoom」のWindows版クライアントに脆弱性、認証情報を盗まれるおそれ ビデオ会議ツール「Zoom」の「Windows」版クライアントについて、グループチャットのリンク共有機能が悪用された場合、リンクをクリックした人のWindowsのネットワーク認証情報が漏えいする可能性があることが、セキュリティ研究者の調査で明らかになった。 26 users 757
kzksgur() @KazukiSUGIURA

思ったより拡散されててビビった…Zoomはアカウント登録なしで参加できたりヴァーチャル背景デフォルトで設定できたり他のツールより便利な点が多いので、脆弱性解消されたらまた使いですよね、こちらの記事も(というかzdnetより)わかりやすかったのでぜひ〜 japanese.engadget.com/jp-2020-04-02-…

2020-04-03 03:42:00
utubono tataki @utubono_tataki

@KazukiSUGIURA 何と、情報ありがとうございます。 気になって確認してみたら、対策が早く更新ファイルの配布が始まっていましたね Release notes of 4.6.19253.0401: -Fixed the UNC link issue.

2020-04-03 09:25:54
Gojiro @GojiroJPN

@KazukiSUGIURA @yX8iTuvbN7KgC5C iPhone版使ってるけどヤバいでしょうか?

2020-04-03 09:26:51
まさぁん a.k.a あのにます◡̈ @Masahm_sd

@KazukiSUGIURA John the Ripper まぁだこんなん使ってんのかぁ の方が驚き

2020-04-03 08:07:15
いわ@弁護士(本物)&スポチャン @yanweigaoping

やっぱ弁護士業でリモートやるのは情報流出が怖すぎるわ twitter.com/KazukiSUGIURA/…

2020-04-03 10:32:17
転倒小心 @tentousho

めっさがんばってFIXされたようなんだけど、それでも間に合わなかったかあ・・・事が事だから仕方ないなあ pc.watch.impress.co.jp/docs/news/1244… twitter.com/KazukiSUGIURA/…

2020-04-03 10:27:16
Jonathan Underwood @junderwood4649

Jitsiは自社のサーバーで無償でホスティングできて(オープンソースなので)、乗っけるサーバーのスペック次第で200人ぐらいまで耐えられるっぽいです。。。ご検討下さい twitter.com/KazukiSUGIURA/…

2020-04-03 10:22:07
小原圭 @ooharak

ことこれに関してはチャット使わなければ済みそう(ほかにも問題はあるかもだけど) twitter.com/KazukiSUGIURA/…

2020-04-03 10:14:10
狂四郎@ @tamama001

おいおいクライアントの指定だからインストールしたよ。 出社したら確認せんと。 twitter.com/KazukiSUGIURA/…

2020-04-03 09:13:21
すとらくちあ @structure0000

改修を開始、改善される見込みが出て来ている。会社側も正式に謝罪が出た。 改修、検証が完了するまでしばらく使わない、と判定したほうが良いかも。 過度反応は不利を生む。 twitter.com/KazukiSUGIURA/…

2020-04-03 08:35:03
ヒコウ技術者 @kusawake

Zoomには、過去から複数の脆弱性が指摘されています。 ある時に大穴が見つかって急に使えなくなることがあります。Zoomも対応は順次進めるのは確実ですが、単一のシステムに依存するのは危険、常に複数のシステムが使ええる環境を用意し続けないといけません。 twitter.com/KazukiSUGIURA/…

2020-04-03 04:46:36

コメント

tetsunotsuki @tetsunotsuki 2020年4月3日
確かWindows版だけではなかったはず。他にもあったよね?
1
nekosencho @Neko_Sencho 2020年4月3日
マツダ車はどうすればいいんだ
15
saku @sakuuuuuuune 2020年4月3日
数年前からZoomはこんな感じなんで、正直代替サービスに乗り換えた方がいいよ
28
SAKURA87@多摩丁督 @Sakura87_net 2020年4月3日
脆弱性が解消するまで代替方法を利用するって言う運用は別におかしくないけどな。
2
娑婆助 @shabasuke 2020年4月3日
sakuuuuuuune それでも無料で同時接続人数100人という魅惑に負ける人達は多いのですよ。
0
a7R2Lj @a7R2Ljtm 2020年4月3日
どんなシステムも脆弱性があると思って使うもんだ。PlanBは常に用意しておくべき。
2
空家の恵比寿様1968 @ebcdic_ascii 2020年4月3日
tetsunotsuki Mac版にも問題がいろいろ。インストーラーの挙動が不審だったり、ユーザーに内緒でWebサーバーをインストールしたり。
13
takatakattata @takatakattata1 2020年4月3日
それいったらWindowsっていうOSは穴だらけよ
0
Satoru MIYAZAKI @s_miyaza 2020年4月3日
4/3朝時点で、Windowsクライアントがアップデートされたので、解決した問題ですね。Mac版もアップデートされたらしいし、Facebook アプリも廃止されたし。
2
RGB000 @19666_61 2020年4月3日
幾分改善は見られたんだけど、あんまりな欠陥だったので小手先の修正でアプリ全体が安全になるとは思えず...頑張って欲しいところだけどしばらくは様子見
6
空家の恵比寿様1968 @ebcdic_ascii 2020年4月4日
19666_61 どっちかというと個々の細かい問題よりもベンダーとしての姿勢が問われている案件なので、発覚した問題が修正されただけでは根本的な解決とは言いがたい。
8
空家の恵比寿様1968 @ebcdic_ascii 2020年4月4日
https://twitter.com/Yuki48222226/status/1246318560856567810 「ズームは中国の当局に鍵の開示義務がある可能性」「他の国のサーバーでも処理される暗号化キーが北京に送信されることがあることが判明」
4
くらっく @crazyslime 2020年4月8日
Skypeで15人もできりゃ十分やろ
0
taki @taki00855587 2020年4月10日
Zoom は創業者も中国系で昨年の11月から、急に中国でも使えるかと思ったら、中国人のみ電話番号登録するようにプログラム変更されていた。要するに中国共産党と裏取引が成立した企業ということ。おまけに暗号のでコードキーを中国のデータセンターに暗号化データと一緒に送っていたことをZoom社自身も認めていて、「間違って送ってしまった。」とミエミエの謝罪をしている。 企業ぐるみの中国共産党傘下スパイウェアと思ったほうが正しい認識だと思う。
2