出典: Security NEXT – https://www.security-next.com/182041
Zoom Windowsクライアントに深刻な脆弱性が発見される
2026年3月10日、オンライン会議ツール「Zoom」のWindows向けクライアントに複数の脆弱性が公表されました。特に権限昇格を許す重大な脆弱性が含まれており、最新版へのアップデートが強く推奨されています。
主要なポイント
- CVE-2026-30903:権限昇格の脆弱性
Zoom Workplace for Windowsのファイル名やパスの処理に問題があり、認証されていないユーザーがネットワーク経由で権限を不正に昇格できる可能性があります。CVSSスコアは9.6で「クリティカル」評価です。 - その他の脆弱性
不適切な権限管理(CVE-2026-30902)、更新機能のバージョンチェック不備(CVE-2026-30900)、入力検証不備(CVE-2026-30901)も判明しており、いずれも「高」評価の重要な問題です。 - アップデートの重要性
これらの脆弱性はすでに最新版で修正されているため、ユーザーは速やかに最新バージョンへ更新する必要があります。 - パッチチューズデーでの公開
米国の定例セキュリティ更新日「パッチチューズデー」に合わせて、Zoomは4件のセキュリティアドバイザリを公開しました。
技術的な詳細や背景情報
今回の脆弱性の中で特に注目されるのは「CVE-2026-30903」です。これはファイル名やパスの外部制御に起因するもので、認証されていない攻撃者がネットワーク経由でZoomクライアントの権限を不正に昇格させることが可能となります。権限昇格とは、通常は制限された操作を行う権限を持たないユーザーが、管理者権限など高い権限を取得してしまうセキュリティ上の重大な問題です。
また、更新機能のバージョンチェック不備(CVE-2026-30900)により、正規のアップデートが適切に適用されないリスクも存在します。これらの脆弱性はCVSSv3.1という国際的な評価システムで評価されており、スコアが高いほど深刻度が高いことを示しています。
影響や重要性
Zoomは世界中で広く利用されているオンライン会議ツールであり、特に企業や教育機関での利用が増加しています。今回の脆弱性を悪用されると、攻撃者が会議ツールの権限を乗っ取り、内部情報の漏洩や不正操作を行う恐れがあります。これにより、機密情報の流出や業務の妨害など重大な被害が発生する可能性があります。
したがって、ユーザーは速やかにZoomの最新版へアップデートし、脆弱性を解消することがセキュリティ維持の観点から不可欠です。また、組織のIT管理者は社内のZoomクライアントのバージョン管理を徹底し、適切なセキュリティ対策を講じる必要があります。
まとめ
ZoomのWindows向けクライアントにおいて、権限昇格を許すクリティカルな脆弱性を含む複数の問題が発見されました。これらは最新版で修正済みのため、ユーザーは速やかにアップデートを行うことが求められます。オンライン会議ツールは日常的に重要な情報を扱うため、常に最新のセキュリティパッチを適用し、安全な利用環境を維持することが重要です。
