Zoom
Albert Gea / Reuters

自宅で仕事をする人やオンライン授業の増加に伴い、テレビ(ビデオ)会議ソフトウェア「Zoom」の利用が全世界で急速に広まっています。

そんななか、何十万ものZoomアカウントがダークWebとハッカーフォーラムで無料配布または販売されていると報じられています。コンピュータヘルプサイトのBleepingComputerは上記の報告とともに、サイバーセキュリティ企業Cybleが約53万ものZoomアカウント情報を1ペンス(約132円)未満で購入できたと伝えています。

購入したアカウントには被害者のメールアドレス、パスワード、パーソナル会議のURLおよびホストキーなどが含まれており、一部は正規のアカウントだと確認されたとのことです。

とはいえ、Zoomの脆弱性が突かれたわけではありません。同記事によると、ハッカーが以前に流出したユーザーアカウント情報を利用してZoomにログインしようとする「クレデンシャルスタッフィング攻撃」の結果であるとされています。これは別名パスワードリスト型攻撃とも言われ、要は使い回されているユーザーIDとパスワードの組み合わせで他のサイトにも侵入する一般的な手口です。
Zoom
そして侵入成功したアカウント情報はリストにまとめられ、Zoom爆撃や悪意ある攻撃をたくらむ他のハッカーに販売あるいは無料で提供されているわけです。具体的にはテキスト共有サイトを通じて、メールアドレスとパスワードの組み合わせリストとして取引されていると伝えられています。

この調査結果では、複数のWebサイトやネットサービスで1つのユーザーIDとパスワードを再利用する危うさに警鐘が鳴らされています。アカウント情報が流出したと懸念のある方は、「Have I Been Pwned?」(個人情報やパスワードの漏えいをチェックできるサイト)あるいはCybleのデータ侵害通知サービスAmIBreachedで確認した上で、漏えいしている場合はZoomのパスワードを変更することをお勧めします。