Morphisec、Zoom会議を勝手に記録するメモリベースの攻撃について解説：「Moving Target Defense」（MTD）技術の強みをアピール

Morphisecは、同社が発見したビデオ会議ツール「Zoom」の脆弱性を悪用した攻撃の仕組みを解説し、同社の「Moving Target Defense」（MTD）技術でこの攻撃を防止できると強調した。

[＠IT]

　セキュリティベンダーのMorphisecは2020年4月22日（米国時間）、同社が発見したビデオ会議ツール「Zoom」の脆弱（ぜいじゃく）性を悪用した攻撃の仕組みを解説し、同社の「Moving Target Defense」（MTD）技術を使ってこの攻撃を防止できると強調した。

　Zoomは、新型コロナウイルス感染症（COVID-19）の世界的な感染拡大に伴うリモートワークの急速な導入拡大を背景に、ユーザーが一気に増加したが、セキュリティ上の問題が多数発覚した。これを受け、Google、SpaceX、NASAなどが、従業員や職員によるZoomの利用を相次いで禁止している。

　Morphisecが発見した脆弱性を悪用すれば、攻撃者は、会議参加者に一切知られることなく、Zoomセッションを自由に記録し、チャットテキストを入手することが可能になる。

　この攻撃は、マルウェアがユーザーを介さずに、Zoomプロセスにコードを注入することでトリガーされる。また、ホストが参加者による記録機能を無効にしていても、攻撃者はZoomセッションを記録できる。参加者は、セッションが記録されているという通知を受けず、マルウェアが出力を完全に制御してしまう。

　Zoomの資格情報は既に大量に盗まれており、ダークウェブでは50万件以上のアカウントが購入可能だ。このため、Zoomセッションがスパイされる危険が高まっているといえる。

　Morphisecは、自社が発見したセキュリティ脆弱性と、それがどのように狙われるかをZoomに報告、説明済みだ。さらに、このZoomマルウェアの仕組みを解説するため、攻撃シミュレーションのデモ動画を公開している。

このマルウェアシミュレーションは、攻撃者と被害者の間でのZoomセッション中に発生する攻撃を示している。両者はZoomの最新版を使用し、そのセキュリティ機能を全て有効にしており、ウイルス対策ソフトウェアもインストールされ、動作している。被害者（マイケル）のホストは、会議参加者による記録を無効にしている。攻撃者（サリー）は、記録権限を持っていないが、Zoomの脆弱性を悪用し、ホストに知られずにセッションを記録する。

攻撃のステップ