Zoomに脆弱性はある?具体例と情報取得や適切・安全な対応の方法
目次
Zoom Workplaceを組織内で運用するに当たり、深刻な脆弱性があるのか、安全に利用できるのか気になる方も多いのではないでしょうか。既知の脆弱性はアプリのアップデートで解消できますが、セキュリティ関連の情報を迅速に入手し、組織内ユーザーのアプリのバージョンを適切に管理することが重要です。
この記事では、Zoom Workplaceの脆弱性に関する情報の取得方法や具体例、そして組織として安全に運用するためのポイントを解説します。
Zoom Workplaceには脆弱性がある?安全・安心に利用するための基礎知識
Zoom社はセキュリティを重視したサービスを提供しており、Zoom Workplaceアプリなどに脆弱性(セキュリティ上の弱点や欠陥)が発見された場合、迅速に修正対応やユーザーへの情報提供を行います。安全・安心に利用するためには、まず基礎知識を押さえておくことが大切です。
Zoom Workplaceの脆弱性対策は早期の情報把握が鍵
Zoom Workplaceにおける脆弱性とは、サイバー攻撃者が標的とするセキュリティ上の弱点や欠陥を指します。他のクラウドサービスと同様に、権限昇格によるシステム乗っ取りや、サービスを利用停止に追い込む攻撃などが主なリスクです。
Zoom Workplaceアプリ、Zoom Roomsクライアント、Windows・macOS・iOS・Androidなど、プラットフォームごとに既知の脆弱性の種類や特性は異なります。被害を受ける前に、脆弱性情報を迅速に入手し、組織内ユーザーのアプリを適宜アップデートすることが不可欠です。
脆弱性情報はZoom Workplace公式のセキュリティ速報で確認
Zoom Workplaceの脆弱性情報は、公式サイトの「セキュリティ速報」ページ(https://www.zoom.com/ja/trust/security-bulletin/)で随時公表されます。ZSB(Zoom Security Bulletin/Zoomセキュリティ速報)は速報の管理番号、CVE(Common Vulnerabilities and Exposures/共通脆弱性識別子)は脆弱性の識別番号です。
速報では、脆弱性の概要や影響を受ける製品に加え、CVSS v3.1に基づく重大性(Severity)や基本標準スコア(Base Score)も確認できます。CVSS(共通脆弱性評価システム)は、システムやソフトウェアの脆弱性の特性と重大性を評価するための国際標準フレームワークです。重大性と基本標準スコアの対応は以下の通りです。
- Critical(緊急・重大):9.0~10.0
- High(重要・高):7.0~8.9
- Medium(警告・中):4.0~6.9
- Low(注意・低):0.1~3.9
2025年5月に公表されたZoomの脆弱性(最新バージョンで解消済み)
Zoom社は2025年5月、重大度「高」の1件を含む7件のセキュリティ速報(ZSB-25016〜ZSB-25022)を公表しました。ここでは、それぞれの概要を解説します。いずれの脆弱性も、最新バージョンで修正済みです。
ZSB-25016(CVE-2025-30663)
CVE‑2025‑30663は、旧バージョンのZoom Workplaceアプリなどに存在する、TOCTOU(Time‑of‑Check Time‑of‑Use)に関する競合状態の脆弱性です。この脆弱性を悪用すると、認証済みユーザーがローカルアクセスを通じて権限を昇格できる可能性があります。権限昇格攻撃は、アカウントへのアクセス権を不正取得し、システム設定の変更や情報の窃取などを行うサイバー攻撃です。
この脆弱性のCVSSスコアは8.8で、重大度は「高」と評価されています。影響を受ける製品は以下の通りです。
- Zoom Workplaceアプリ v6.4.0未満(Windows、macOS、Linux、iOS、Android)
- Zoom Workplace VDIクライアント v6.3.10未満(Windows)
- Zoom Roomsコントローラー v6.4.0未満(Windows、macOS、Linux、Android)
- Zoom Roomsクライアント v6.4.0未満(Windows、macOS、Android、iPad)
- Zoom Meeting SDK v6.4.0未満(Windows、macOS、Linux、iOS、Android)
ZSB-25017(CVE-2025-30664)
CVE‑2025‑30664は、旧バージョンのZoom Workplaceアプリなどにおいて、特殊要素の無効化処理が不適切なために発生する脆弱性です。この脆弱性も、認証済みユーザーがローカルアクセスを経由して権限を昇格できる可能性があります。
CVSSスコアは6.6で、重大度は「中」と評価されています。影響を受ける製品は、ZSB‑25016と同様にv6.4.0未満のZoom WorkplaceアプリやZoom Roomsコントローラー、クライアントなどです。
ZSB-25018(CVE-2025-30665、CVE-2025-30666)
CVE‑2025‑30665およびCVE‑2025-30666は、旧バージョンのWindows版Zoom Workplaceアプリなどに存在する、nullポインタ参照の脆弱性です。この脆弱性を悪用すると、認証済みユーザーがネットワーク経由でサービス拒否(DoS)攻撃を実行できる可能性があります。DoS攻撃とは、大量のアクセス要求を送信するなどしてシステムに過負荷をかけ、本来のユーザーがサービスを利用できない状態にするサイバー攻撃です。
この脆弱性のCVSSスコアは6.5で、重大度は「中」と評価されています。影響を受ける製品は、v6.4.0未満のWindows版Zoom WorkplaceアプリやZoom Roomsコントローラー・クライアントなどです。
ZSB-25019(CVE-2025-30667)
CVE‑2025‑30667も、nullポインタ参照による脆弱性です。旧バージョンのZoom Workplaceアプリなどにおいて、この脆弱性を悪用した認証済みユーザーは、ネットワーク経由でDoS攻撃を実行できる可能性があります。
CVSSスコアは6.5で、重大度は「中」と評価されています。影響を受ける製品はWindows版に限定されず、TOCTOUに関する脆弱性と同様、v6.4.0未満のZoom WorkplaceアプリやZoom Roomsコントローラー・クライアントなどです。
ZSB-25020(CVE-2025-30668)
CVE‑2025‑30668は、旧バージョンのZoom Workplaceアプリなどに存在する整数アンダーフローの脆弱性です。この脆弱性を悪用すると、認証済みユーザーがネットワーク経由でサービス拒否(DoS)攻撃を実行できる可能性があります。
CVSSスコアは6.5で、重大度は「中」と評価されています。影響を受ける製品は以下の通りです。
- Zoom Workplaceアプリ v6.4.0未満(Windows、macOS、Linux、iOS)
- Zoom Workplace VDIクライアント v6.3.10未満(Windows)
- Zoom Roomsコントローラー v6.4.0未満(Windows、macOS、Linux、Android)
- Zoom Roomsクライアント v6.4.0未満(Windows、macOS、Android、iPad)
- Zoom Meeting SDK v6.4.0未満(Windows、macOS、Linux、Android)
ZSB-25021(CVE-2025-46785)
CVE‑2025‑46785は、旧バージョンのWindows版Zoom Workplaceアプリなどにおける、バッファの過剰読み取り(Buffer over‑read)の脆弱性です。この脆弱性を悪用すると、認証済みユーザーがネットワーク経由でDoS攻撃を実行できる可能性があります。
CVSSスコアは6.5で、重大度は「中」と評価されています。影響を受ける製品は、v6.4.0未満のWindows版Zoom WorkplaceアプリやZoom Roomsコントローラー・クライアントなどです。
ZSB-25022(CVE-2025-46786、CVE-2025-46787)
CVE‑2025‑46786およびCVE‑2025‑46787は、旧バージョンのZoom Workplaceアプリなどに存在する、特殊要素の無効化処理が不適切な脆弱性です。この脆弱性により、認証済みユーザーがネットワーク経由でアプリの整合性に影響を与える可能性があります。
CVSSスコアは4.3で、重大度は「中」と評価されています。影響を受ける製品は、TOCTOUに関する脆弱性と同様、v6.4.0未満のZoom WorkplaceアプリやZoom Roomsコントローラー・クライアントなどです。
Zoom Workplaceの脆弱性はアプリのアップデートで解消できる
Zoom Workplaceを安全・安心に利用するには、アプリのアップデートが欠かせません。ユーザーにはおおよそ3か月ごとに更新が促されますが、脆弱性を修正した新バージョンがリリースされた場合は、次回の定期更新を待たずに適用されることもあります。「プロ」以上の有料プランであれば、組織内ユーザーのバージョン管理を効率的に行うことが可能です。
Zoom Workplaceアプリは必然的にアップデートを繰り返して利用する
Zoom社が脆弱性情報を公表する際には、すでに修正版やセキュリティ強化を行った新バージョンが提供されています。セキュリティ速報には「旧バージョンには既知の脆弱性があるため、解消済みの新バージョンに更新してください」という意味が含まれます。
また、Zoom Workplaceアプリはソフトウェア四半期ライフサイクルポリシーに基づき、2月・5月・8月・11月の最初の週末に必要最低バージョンが更新されます。これにより、ユーザーは常に新機能やセキュリティ改善を確実に利用できます。
必要最低バージョンより古いアプリを使用している場合、起動時に更新が促されます。そのためユーザーは必然的にアップデートを繰り返し、既知の問題を解消しながらサービスを継続して利用することになります。
重大な脆弱性がアナウンスされたら迅速にバージョンの確認・更新が必要
Zoom Workplaceアプリは、機能追加やセキュリティ強化のために頻繁に新バージョンが提供されます。必要最低バージョンが切り替わるまでの間にも、既知の脆弱性を解消したバージョンが複数回リリースされることがあります。特に、重大度が「高」や「重大」に分類される脆弱性が発表された際は、影響を受けるバージョンを使用している場合に速やかな更新が求められます。
Zoomデスクトップクライアントでのバージョン確認・更新手順は以下の通りです。
- 使用中のバージョン確認:右上のプロフィール画像 → [ヘルプ] → [Zoom Workplaceについて]
- 最新バージョンへの更新:右上のプロフィール画像 → [更新をチェック]
- 自動アップデート設定:右上のプロフィール画像 → [設定] → [一般]タブ → [アプリを自動的に更新する]をオン
有料プランはアカウント全体のアプリのバージョンを効率的に管理できる
Zoom Workplaceの脆弱性の中には、権限昇格攻撃などを通じてアカウント全体へ被害が及ぶ恐れがあるものもあります。このため、組織内ユーザーのアプリを常に最新状態に保ち、全デバイスで既知の脆弱性を解消しておくことが重要です。ただし、リモートワーク環境などでは、管理が行き届かない場合もあります。
「プロ」以上の有料プランでは、組織内ユーザーに対し、指定バージョンへのアップデートを要求または強制できます。さらに「ビジネス」以上のプランでは、Zoomウェブポータルの[ダッシュボード]から組織全体の使用バージョンを詳細に確認できます。更新の必要・不要の割合やユーザーごとの利用状況も把握でき、現状の問題点の特定やトラブルの未然防止に役立ちます。
【関連記事:Zoomのビジネスライセンスの魅力は価格以上?有料プランの選び方】
Zoom Workplaceをより安全・安心に活用する有料プラン運用ならイッツコムにお任せ!
Zoom Workplaceアプリは簡単な操作でアップデートできますが、無料プランではバージョン管理をユーザーが個別に行う必要があります。「プロ」以上の有料プランにアップグレードすれば、組織内ユーザーを1つのアカウントに統合し、アップデートの要求や強制などを含む一元的な管理が容易になります。
さらに「ビジネス」以上の有料プランでは、ダッシュボードを活用して組織内ユーザーの利用状況を詳細に把握でき、SSOによる認証など、より高度なセキュリティ機能も利用可能です。
有料プランへのアップグレードを検討する場合は、日本語サポートに対応する国内代理店経由での契約がおすすめです。イッツコムでは、プロプラン1ライセンスのお試し運用からビジネスアカウントの本格運用まで、豊富な知見を活かして柔軟に対応できます。
【関連記事:Zoomの法人契約は代理店経由ですべき?有料プランの選び方を解説】
まとめ
Zoom Workplaceに何らかの脆弱性が発見されると、Zoom社はユーザー向けにセキュリティ関連情報を提供し、脆弱性を解消済みの新バージョンへのアップデートを案内します。Zoom Workplaceを安全・安心に利用するために重要なことは、組織内ユーザーが使用するアプリを、なるべく早く新バージョンへアップデートすることです。
「プロ」プランなら組織内のバージョンの一元管理ができ、「ビジネス」プランならダッシュボードやSSO認証といった高度な機能も利用できます。Zoom Workplaceをより安全・安心に活用することをお考えなら、最適なプラン選びから運用方法の提案までサポートできるイッツコムにご相談ください。