ビデオ会議『Zoom』のWindows版アプリにアカウント乗っ取りの脆弱性、ログインも操作も不要 CVE-2026-53412、最新版へ更新を
世界中で使われるビデオ会議アプリ『Zoom』のWindows版に、危険度9.8の重大な脆弱性CVE-2026-53412が見つかりました。ログインも利用者の操作も不要で、ネットワーク越しにアカウントを乗っ取られる恐れがあります。対象はWindowsのデスクトップ版・VDI版・開発者向けSDKで、Mac・スマホ版は対象外。修正版が公開済みのため最新版への更新をおすすめします。
目次
世界中で使われるビデオ会議アプリ『Zoom』のWindows版に、危険度9.8の重大な脆弱性CVE-2026-53412が見つかりました。ログインも利用者の操作も不要で、ネットワーク越しにアカウントを乗っ取られる恐れがあります。対象はWindowsのデスクトップ版・VDI版・開発者向けSDKで、Mac・スマホ版は対象外。修正版が公開済みのため最新版への更新をおすすめします。
世界中の会議やオンライン授業で使われているビデオ会議アプリ、『Zoom』のWindows版に、アカウントを乗っ取られる恐れのある重大な脆弱性(CVE-2026-53412)が見つかりました。危険度はCVSS(10段階)で9.8の「緊急(Critical)」です。開発元のZoom Video Communicationsは修正版をすでに公開しています。
問題があるのは、Windows向けに配布されているZoomのアプリです。具体的には、通常のデスクトップ版「Zoom Workplace」、仮想デスクトップ環境向けの「Zoom VDI Client」、開発者が自社アプリにZoom機能を組み込むための「Zoom Meeting SDK」の、いずれもWindows版が対象です。Mac版・Linux版・スマートフォン版・ブラウザ版は対象に含まれていません。
Zoomの評価では、この脆弱性はログインも利用者の操作も不要で、ネットワーク越しに悪用できるとされています。攻撃されると、利用者のアカウントを乗っ取られる恐れがあります。今のところ実際に攻撃された報告はなく、悪用の具体的な手口も公表されていませんが、利用者数が極めて多い製品だけに、早めの更新が安全です。何が起きるのか、どのアプリのどのバージョンが対象か、どう直すのかを順に説明します。会議やチャットのアカウントを乗っ取られる問題は、企業のID管理システムで乗っ取りの欠陥が報じられた件のように、身近なサービスでも起きています。
何が起きるのか
ひとことで言うと、ZoomのWindows版アプリが受け取ったデータの扱いに不備があり、それを突かれるとアカウントの乗っ取りにつながる、という問題です。Zoomの発表では「不適切な入力検証」が原因とされています。危険度が最高クラスの9.8とされているのは、悪用にログインも操作も必要なく、ネットワーク経由で成立し得ると評価されているためです。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-53412 |
| 対象 | ZoomのWindows版アプリ (デスクトップ/VDI/開発者向けSDK) |
| 危険度 | CVSS 9.8(緊急) |
| 脆弱性の種類 | 入力検証の不備 (アカウント乗っ取りにつながる) |
| 悪用の前提 | ログイン不要・操作不要 ネットワーク経由で悪用可 |
| 対象外 | Mac・Linux・スマホ・ ブラウザ版 |
| 対策 | Windows版アプリを 最新版へ更新 |
この脆弱性は、Zoom社内の攻撃手法を研究するチームが発見して報告したものです。外部の攻撃者に先に見つかる前に、社内で見つけて塞いだ形です。悪用の詳細な手口は公表されていないため、ここでは「Windows版のアプリが対象で、アカウント乗っ取りにつながる」という事実を押さえておけば十分です。
誰が、何のために狙うのか
この脆弱性を突けるのは、対象となるWindows版Zoomアプリに、ネットワーク越しに細工したデータを届けられる攻撃者です。悪用にログインは不要とされているため、攻撃者はアカウントを持っていなくても狙える可能性があります。具体的な経路は公表されていませんが、危険度の評価上は、利用者が特別な操作をしなくても成立し得るとされています。
その攻撃者の狙いは、利用者のZoomアカウントを乗っ取り、本人になりすまして会議やメッセージ、連絡先にアクセスすることです。会議ツールのアカウントには、社内外の打ち合わせ内容や参加者、録画、チャットのやり取りなど、機微な情報が集まります。乗っ取られれば、盗み見だけでなく、なりすましによる詐欺や、社内の他のサービスへの侵入の足がかりにも使われかねません。
被害は個人だけの問題では終わりません。企業や学校、自治体、医療機関など、Zoomを業務の中心に据えている組織では、一つのアカウント乗っ取りが組織全体の情報漏えいや信用低下につながります。利用者が自分のパソコンで使うアプリの脆弱性は、動画プレイヤーが不正なリンクで乗っ取られる欠陥のように、身近な入口が狙われる点が共通しています。
技術的に見ると
Zoomのセキュリティ情報では、原因を「不適切な入力検証(CWE-20)」と説明しています。アプリが外部から受け取ったデータを十分に確かめないまま処理してしまう類の欠陥で、これがアカウント乗っ取りにつながるとされています。ただし、どのデータをどう細工すれば成立するのかという攻撃の詳細は公表されていません。
危険度の評価(CVSSベクトル)を見ると、ネットワーク経由・認証不要・利用者操作不要で悪用でき、情報の機密性・完全性・可用性のすべてに大きな影響が及ぶとされています。これが最高クラスの9.8という数値の根拠です。とはいえ、対象はあくまでWindows版のクライアントアプリであり、更新すれば塞がる問題です。過度に不安がる必要はなく、対象環境なら早めに更新する、という受け止め方が実務的です。
影響を受ける製品と修正版
対象はWindows版のZoomアプリ3種類です。自分が使っているアプリの種類とバージョンを確認し、下の修正版以降になっているかを見てください。修正版はZoom公式のセキュリティ情報(ZSB-26014)として案内されています。
| 製品(Windows版) | 影響を受ける版 | 修正版 |
|---|---|---|
| Zoom Workplace (デスクトップ版) | 7.0.0 未満 | 7.0.0 以降 |
| Zoom VDI Client (仮想デスクトップ向け) | 各系統の古い版 | 7.0.10/6.6.15/ 6.5.18 以降 |
| Zoom Meeting SDK (開発者向け) | 7.0.0 未満 | 7.0.0 以降 |
繰り返しになりますが、対象はWindows版のみで、Mac版・Linux版・iOSやAndroidのスマートフォン版・ブラウザ版は今回の脆弱性の対象に含まれていません。「自分はMacやスマホで使っている」という場合、この件で慌てて何かをする必要はありません。ただし、どの環境でもアプリを最新に保つことは日ごろの基本です。
いま何をすればいいのか
やることはシンプルで、Windows版のZoomアプリを最新版に更新するだけです。Zoomアプリの画面右上のプロフィールアイコンから「アップデートを確認」を選ぶと、最新版があれば適用できます。会社で配布・管理されているパソコンの場合は、情報システム部門がまとめて更新することが多いので、更新の案内が来ていないか確認してください。多数の端末を管理している場合は、配布の仕組みで一括更新するのが確実です。
現時点では実際の攻撃も、悪用のための実証コードも確認されていません。米政府CISAの「実際に攻撃されている脆弱性」の一覧(KEV)にも登録されていません。とはいえ、利用者数が数億規模と非常に多く、危険度も最高クラスのため、攻撃者が悪用方法を編み出す前に更新を済ませておくのが安全です。自分のパソコンで使う会議・業務アプリを最新に保つ習慣は、証券取引アプリで乗っ取りの脆弱性が見つかった件のような身近な事例でも、被害を防ぐ一番の近道になります。
まとめ
CVE-2026-53412は、ビデオ会議アプリZoomのWindows版に見つかった、アカウント乗っ取りにつながる脆弱性です。危険度はCVSS 9.8と最高クラスで、ログインも利用者の操作も不要でネットワーク経由で悪用され得ると評価されています。対象はWindowsのデスクトップ版・VDI版・開発者向けSDKで、Mac版やスマートフォン版は含まれません。
対処は、Windows版のZoomアプリを修正版(Zoom Workplaceは7.0.0以降など)へ更新するだけです。実際の攻撃はまだ確認されておらず、Zoom社内のチームが発見して先回りで塞いだ形ですが、利用者が極めて多い製品だけに、悪用が始まる前の更新が肝心です。詳しい手口が公表され次第、また新しい情報が出次第、この記事に追記します。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go