Zoom for Windows の脆弱性 CVE-2025-49457 が FIX:権限昇格の恐れ

Critical Zoom Clients for Windows Vulnerability Lets Attackers Escalate Privileges

2025/08/12 CyberSecurityNews — Zoom for Windows クライアントに影響を及ぼす、深刻な脆弱性が公開された。この脆弱性を悪用する攻撃者は、権限昇格を達成し、ユーザー・システムを侵害する機会を得る。ZSB-25030 セキュリティ情報において、この脆弱性は CVE-2025-49457 として特定され、CVSS スコアは 9.6 と評価されている。また、重大な影響が及ぶ範囲は、機密性/整合性/可用性であり、深刻度は Critical に分類されている。

この脆弱性の原因は、特定の Windows 向け Zoom クライアントにおける、信頼されていない検索パスにある。この問題を悪用する攻撃者は、認証を必要とすることなく、悪意のリンク・クリックや汚染されたファイルの開封といった、シンプルなユーザー操作のみでネットワークからの攻撃を可能にする。

CVSS ベクター (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H) は、権限不要/低複雑性/影響範囲の変更を示し、データ窃取/システム改竄/完全な乗っ取りのリスクが高いことを表している。

影響を受ける製品は以下の通りである。

  • Zoom Workplace for Windows (バージョン 6.3.10 未満)
  • Zoom Workplace VDI for Windows (バージョン 6.3.10 未満、バージョン 6.1.16/6.2.12 を除く)
  • Zoom Rooms for Windows (バージョン 6.3.10 未満)
  • Zoom Rooms Controller for Windows (バージョン 6.3.10 未満)
  • Zoom Meeting SDK for Windows (バージョン 6.3.10 未満)

古いバージョンを使用するユーザーに対して強く推奨されるのは、速やかなアップデートにより、リスクを軽減することだ。

Zoom for Windows クライアントの脆弱性

Zoom の Offensive Security チームにより発見/報告された、この脆弱性が浮き彫りにするのは、ソフトウェア・セキュリティに存在する、特に Windows 環境のパス処理メカニズムに存在する、継続的な課題の深刻さである。

この信頼されていない検索パスは、安全が保証されないディレクトリから、アプリケーションがファイルを読み込む際に発生し、悪意の DLL/EXE ファイルの挿入を、攻撃者に対して許すものだ。今回の Zoom のケースにおける攻撃者は、権限昇格を達成し、マルウェアのインストール/機密データへのアクセス/サービス妨害などを引き起こすという。

この欠陥により、企業/教育機関/個人などの、膨大な数の Zoom ユーザーに深刻な影響が生じるかもしれない。

2025年においても、依然としてリモートワークは一般的であるが、このような脆弱性が広範なセキュリティ侵害を引き起こすと、ビデオ会議ツールへの信頼が損なわれる恐れがある。専門家たちが指摘するのは、過去においても同様の脆弱性が発生し、サプライチェーン攻撃やフィッシング攻撃で悪用されてきたことである。

すでに Zoom は、最新バージョンをリリースし、この問題に対処している。したがって、ユーザーに対して推奨されるのは、公式サイトから最新アップデートをダウンロードして、速やかにインストールすることだ。

Zoom 広報担当者は、「これらのパッチの適用は、セキュリティ維持に不可欠である」と述べている。さらに、追加の保護策として推奨されるのは、自動アップデートの有効化/ウイルス対策ソフトの利用/不審リンクの回避などである。

今回のインシデントが明らかにしたのは、積極的なセキュリティ対策の重要性である。サイバー脅威が進化する中において、定期的なアップデートと警戒は、依然として悪用に対する重要な防御策である。組織にとって必要なことは、Zoom の利用環境を見直し、潜在的インシデント防止のためにユーザー教育を実施することである。

Windows 版 Zoom クライアントが、安全でない場所からファイルを読み込んでしまうという、”信頼されていない検索パス” に起因する脆弱性が発生しました。本来は想定されていないフォルダから、アプリケーションが DLL/EXE ファイルを取り込み、攻撃者が仕込んだ悪意のコードを実行してしまうという、よくある攻撃経路が提供されてしまうと、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。よろしければ、Zoom で検索も、ご参照ください。