WebexとZoomのビデオ会議の多くがパスワードで保護されていないために外部から侵入できることを、セキュリティ研究者のチームが発見した。
画像:Getty Images
スクレイピングとアカウント乗っ取りからのアプリの保護を専門とするスタートアップ、Cequenceの研究チームは、有効なミーティングIDのリストをサイクルしアクティブなビデオ会議にアクセスするボットを作った。多くの企業とユーザーが、面倒を省くため、あるいはデフォルトの設定を確認していないために、ミーティングにパスワードをかけていない。そしてミーティングIDのストックも限られている。こうしたことが脆弱性につながった。
プラットフォームのAPIを攻撃対象にすることで、プロセスを自動化することができた。研究チームはこの欠陥を7月にWebexのメーカーであるCiscoとZoomに報告した。その後、両社とも修正プログラムを公開した。サイレントに攻撃できるわけではなく、ミーティングへのアクセスに成功したことは通知される。
Ciscoは、このプラットフォームでの脆弱性の悪用は「認識していない」と語った。Zoomは、研究チームに「感謝している」とし、ボットの攻撃を防ぐようサーバの保護を強化したという。
Zoomは7月に、ユーザーがアプリをアンインストールした際にMacからウェブサーバが取り除かれず、セキュリティ上の危険があるとして
スポンサーリンク
WebexとZoomのビデオ会議に侵入できる欠陥が発見されていた
IT起業ニュース
コメント