Zoom Node MMR の深刻な脆弱性 CVE-2026-22844 が FIX：コマンド・インジェクションによる RCE の恐れ

Critical Zoom Command Injection Vulnerability Enables Remote Code Execution

2026/01/21 CyberSecurityNews — Zoom Node Multimedia Routers (MMR) に存在する深刻なコマンド・インジェクション脆弱性 CVE-2026-22844 により、ミーティング参加者が影響を受けるシステム上で任意のコードを実行できる可能性がある。この脆弱性は CVSS 深刻度スコア 9.9 と評価されている。これは極めて高い数値であり、即時対応が必要な極めて危険な脅威であることを示している。

このコマンド・インジェクションの欠陥は、Zoom Node MMR のバージョン 5.2.1716.0 未満に存在する。主として影響を受けるデプロイメント・シナリオは、Zoom Node Meetings Hybrid (ZMH) 環境や Zoom Node Meeting Connector (MC) 環境におけるものとなる。

Zoom コマンド・インジェクション脆弱性

この脆弱性を悪用する際に必要となるのは、ネットワーク・アクセスと低レベル権限のみであり、ユーザー操作は不要である。有効なミーティング参加者の認証情報を有する攻撃者は、この欠陥を利用して MMR インフラ上で、直接リモート・コード実行が可能となる。

この脆弱性が極めて深刻である理由は、ネットワーク経由で到達可能な攻撃ベクターを持ち、システム全体を侵害できる点にある。CVSS ベクターは CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H である。この脆弱性は、機密性／完全性／可用性の、すべてにおいて大きな影響を示している。それにより攻撃者は、データの窃取／システム設定の変更／サービスの妨害を同時に可能にする。

Field	Value
CVE ID	CVE-2026-22844
Bulletin	ZSB-26001
CVSS Score	9.9 (Critical)
Attack Vector	Network
Flaw Type	Command Injection

Zoom Node Meetings Hybrid や Meeting Connector のデプロイメントを運用している組織は、即時的なリスクに直面している。この脆弱性を悪用する攻撃者は、バージョン 5.2.1716.0 未満を実行している MMR モジュールを標的にするため、バージョン確認とパッチ適用が主要な緩和策となる。Zoom によると、このインシデントは同社の Offensive Security チームにより発見されたという。

Zoom が管理者に対して強く推奨するのは、影響を受ける MMR モジュールを直ちにバージョン 5.2.1716.0 以降へと更新することである。同社は、Zoom Node の更新管理に関するサポート・ドキュメントを通じて詳細なガイダンスを公開しており、Zoom Node インフラ全体にパッチを展開するための手順を段階的に提供している。

ユーザー組織にとって必要なことは、ゼロデイ脆弱性への対応と同等の緊急性をもって、この脆弱性を最優先で取り扱うことである。この脆弱性は、攻撃の複雑性が低く、参加者レベルの基本的なアクセス権のみで悪用可能であるため、実環境における悪用リスクは極めて高い。

Zoom Node のデプロイメントを使用している組織は、現在の MMR バージョンを直ちに確認し、遅滞なくパッチを適用すべきである。深刻度スコアの高さと悪用の容易さを踏まえると、この脆弱性は影響を受けるすべての環境において、緊急対応を要する重大なセキュリティ・リスクである。

Zoom のハイブリッド運用 (Zoom Node) を支えるコンポーネント MultiMedia Router (MMR) において、会議の参加者にシステムの完全な乗っ取りを許す、きわめて深刻な脆弱性が見つかりました。この問題の原因は、プログラムが外部からの命令を処理する際のコマンド・インジェクションという不備にあります。

この脆弱性 CVE-2026-22844 (CVSS：9.9：Critical) は、最大級の警戒が必要な脅威となっています。一般的なユーザー権限を持つ会議の参加者であれば、特別な知識がなくてもネットワーク経由でMMRサーバ上での任意のプログラム実行が可能になります。ご利用のチームは、ご注意ください。よろしければ、Zoom での検索結果も、ご参照ください。