Zoom の複数の脆弱性が FIX：ユーザー権限操作や署名検証の失敗とサプライチェーン攻撃の恐れ

Zoom Vulnerabilities Let Attackers Bypass Access Controls to Access Session Data

2025/11/11 CyberSecurityNews — Zoom が発表したのは、Workplace アプリケーションに影響を及ぼす、複数の脆弱性に対するパッチの情報である。新たに公開された情報では、深刻度 High １件と Medium ２件の脆弱性が明らかになっており、ハイブリッド・ワーク環境で膨大な数のユーザーが利用するビデオ会議ツールの、セキュリティ確保における継続的な課題が浮き彫りになっている。コラボレーション・ソフトウェアに対する攻撃の増加について、サイバー・セキュリティの専門家たちが警告する中で、これらのアップデートは公開されている。一連の脆弱性が悪用されると、不正アクセスやシステム障害の被害にユーザーが遭遇するという。

Zoom のセキュリティ脆弱性

最も深刻な脆弱性は、深刻度 High と評価されている CVE-2025-64741 (ZSB-25043) と CVE-2025-64740 (ZSB-25042) である。Android 版 Zoom Workplace では、不適切な認証処理の脆弱性 CVE-2025-64741 を悪用する攻撃者がアクセス制御を回避し、無許可での会議への参加や、機密性の高いセッション・データへのアクセスといった、不正な操作を実行する可能性がある。

この脆弱性は最新パッチ適用前の Android バージョンに影響し、権限チェックの欠陥を悪用する攻撃者に対して、ネットワーク経由でのユーザー権限の操作を許す可能性がある。

同様に、Windows 版 Zoom Workplace VDI クライアントにも、暗号署名の不適切な検証の脆弱性 CVE-2025-64740 があり、改竄されたアップデートの受け入れや通信の傍受といった攻撃を受ける可能性がある。

セキュリティ研究者によると、こうした署名検証の失敗はサプライチェーンの侵害につながりやすいという。つまり、正規のソフトウェア・ディストリビューションに見えるソフトウェアに、攻撃者がマルウェアを注入するケースが見受けられるようだ。

それらに加えて、パス操作に関する Medium レベルの２件の脆弱性がある。脆弱性 CVE-2025-64739 (ZSB-25041) は、各種 Zoom クライアントのファイル名またはパスの外部制御に影響を及ぼす。この脆弱性を悪用する攻撃者は、不正なファイル操作を介したリダイレクトの可能性を得る。したがって、他の脆弱性と併せて悪用された場合には、データ漏洩や任意のコード実行につながる危険性が生じる。

macOS 版 Zoom Workplace の脆弱性 CVE-2025-64738 (ZSB-25040) も同様であり、細工された入力情報を用いる攻撃者がディレクトリをトラバースし、重要なファイルを上書きする可能性がある。

これらのパストラバーサルの脆弱性は、一般的な Web アプリの脆弱性と共通しているが、デスクトップ・クライアント向けに修正されているようだ。クロス・プラットフォーム・ツールにおける、堅牢な入力サニタイズの必要性が強調される。

参考として、2025年4月の更新版であるアドバイザリ ZSB-25015 が公開されている。このアドバイザリは、Windows 版 Zoom Workplace アプリにおける null ポインタ参照の脆弱性 CVE-2025-30670／CVE-2025-30671 を対象としている。

4 月 8 日に最初に公開され、11 月 10 日に改訂されたこの中程度の深刻度の問題は、ソフトウェアでの処理中に null が不適切に参照された場合に、アプリケーション・クラッシュやサービス拒否状態の可能性が生じる。

この脆弱性は、直接コード実行に悪用されるものではないが、Windows 環境における継続的な安定性の懸念を浮き彫りにしている。繰り返しクラッシュが発生すると、業務に支障をきたす可能性がある。

Zoom は、これらのリスクを軽減するため、Android／Windows／macOS／VDI クライアントなどを、最新バージョンへと速やかにアップデートすることを強く推奨している。

Zoom の脆弱性の主な原因は、認証や署名検証などの基本的なセキュリティ処理の不備にあります。特に Android 版の権限チェックや、Windows 版の署名検証の欠陥は、アクセス制御やアップデートの信頼性を損なうものになります。また、パス操作や入力処理の不十分さが、ファイル改ざんや任意コード実行といった副次的なリスクを招いています。なお、この記事には反映されていませんが、Zoom のアドバイザリには Workplace クライアントの非効率な正規表現の脆弱性 CVE-2025-62484 (ZSB-25048) も、2025年11月11日付けで記載されています。ご利用のチームは、ご注意ください。よろしければ、Zoom で検索を、ご参照ください。