2025年8月、リモートワークやオンライン会議の定番ツールであるZoomで、重大なセキュリティ脆弱性が発見されました。特にWindows版のZoomクライアントに関する脆弱性は、攻撃者にシステムを乗っ取られる可能性があるほど深刻なものです。
そこで、今回発見された脆弱性の詳細や影響範囲、そして今すぐやるべき対応策まで、公式情報をもとにわかりやすく解説します。
発見された脆弱性の概要
今回、Zoomで発見された脆弱性は主に2つです。どちらもWindows版のZoomクライアントに関わるもので、特に1つ目の脆弱性は非常に危険度が高いものとなっています。
CVE-2025-49457(クリティカル・最高危険度)
この脆弱性の内容と危険度は次のとおりです。
- 内容:Windows版Zoomクライアントの「信頼されていない検索パス(Untrusted Search Path)」の問題
- 危険度:CVSS 9.6(Critical:最高レベルの危険性)
何が問題なのか?
Zoomが起動時に必要なファイルを読み込む際、本来であれば安全な場所からファイルを読み込むべきなのですが、攻撃者が用意した悪意のあるファイル(DLLなど)を間違って読み込んでしまう可能性があります。これにより、攻撃者がコンピュータの管理者権限を奪取し、システム全体を乗っ取ることができてしまいます。
この脆弱性のイメージ
Zoomが「必要な道具を取りに行く」際に、本来の倉庫ではなく、攻撃者が仕掛けた偽の倉庫から道具を取ってきてしまう状況です。その偽の道具(悪意のあるファイル)を使うことで、攻撃者がコンピュータ全体をコントロールできるようになってしまいます。
影響範囲
この脆弱性の影響を受ける範囲は次のとおりです。
- Zoom Workplace for Windows(バージョン6.3.10未満)
- Zoom Rooms(バージョン6.3.10未満)
- Zoom Rooms Controller(バージョン6.3.10未満)
- Zoom Meeting SDK(バージョン6.3.10未満)
※Zoom Workplace VDI(Windows)のバージョン6.1.16および6.2.12は影響対象外です。
CVE-2025-49456(中程度の危険性)
この脆弱性の内容と危険度は次のとおりです。
- 内容:インストーラ(MSI形式)処理中のレースコンディション
- 危険度:CVSS 6.2(Medium:中程度)
何が問題なのか?
Zoomをインストールする際、複数の処理が同時に実行されることで、攻撃者が不正なプログラムを紛れ込ませる隙ができてしまう問題です。主に企業環境でのインストール時に影響があります。
この脆弱性のイメージ
引っ越しの際に、複数の作業員が同時に荷物を運んでいる最中に、泥棒が紛れ込んで勝手に荷物を置いていく状況です。作業が混雑している隙に、攻撃者が不正なファイルを置いていく可能性があります。
なぜ今回の脆弱性は危険なのか?
今回発見された脆弱性が危険な理由は次のとおりです。
1. 攻撃者がシステム全体を乗っ取れる
特にCVE-2025-49457は、攻撃者がコンピュータの管理者権限を取得できる「特権昇格」という非常に危険な攻撃を可能にします。これにより、個人情報の盗取やシステムの破壊といった深刻な被害が発生する可能性があります。
2. 広範囲のユーザーが対象
Zoomは世界中で数億人が使用するツールです。リモートワークが一般的になった現在、企業の機密情報を扱う会議でも頻繁に使用されており、被害の規模が非常に大きくなる恐れがあります。
3. 企業環境では自動更新されないケースが多い
企業でZoomを導入している場合、MSI形式でインストールされていることが多く、これらの環境では自動更新機能が無効になっている場合があります。つまり、IT担当者が手動でアップデートを実施しなければ、脆弱性がそのまま残ってしまう可能性があるんですね。
今すぐやるべき対策と安全な利用方法
ここからは、今回の脆弱性から身を守るために今すぐ実行すべき対策を紹介します。難しい作業ではありませんので、順番に確認していきましょう。
1. Zoomを最新版(6.3.10以上)にアップデート
まず最優先でやるべきことは、Zoomを最新バージョンにアップデートすることです。次の手順で確認・アップデートしてください。
- Zoomアプリを起動
- 右上のプロフィール画像をクリック
- 「アップデートを確認」を選択
- アップデートがある場合は指示に従ってダウンロード・インストール
2. MSI形式でインストールしている場合の対応
MSI形式でZoomをインストールしている場合は、前述の手順でアップデートできない可能性があります。この場合は次の対応が必要です。
会社のパソコンでZoomを使用している場合は、勝手にアンインストールやインストール作業を行わず、必ずIT管理者や情報システム部門に相談してください。企業のセキュリティポリシーに違反する可能性があります。
- Zoom公式ダウンロードセンターにアクセス
- 最新版のZoomクライアントをダウンロード
- 既存のZoomを完全にアンインストール(※重要:後述のクリーンアップツールを必ず使用)
- 新しいバージョンを再インストール
なお、通常のアンインストール(Windowsの設定アプリから削除)では、レジストリや設定ファイルが残ってしまい、新しいバージョンのインストール時に問題が発生する可能性があります。そのため、MSI形式でインストールされたZoomを更新する際は、必ず次に説明する「クリーンアップツール」を使用してください。
参考:Zoom公式「Zoom アプリケーションのアンインストールと再インストール」
Zoom公式「クリーンアップツール」とは?
アップデートが正常に動作しない場合に役立つのが、Zoom公式「クリーンアップツール(CleanZoom)」です。
主な用途
「クリーンアップツール(CleanZoom)」の主な用途は次のとおりです。要は公式が提供する完全アンインストールツールということですね。
- Zoomアプリの完全削除(通常のアンインストールでは消せないレジストリや設定ファイルも含む)
- アップデートの不具合やインストールエラーの解決
- MSI版などの企業配布端末での「リフレッシュ」
基本的な使い方
「クリーンアップツール(CleanZoom)」は公式サイトからダウンロードして利用します。「Zoomをアップデートしても最新版にならない」といったトラブルの場合、MSI形式でインストールされている可能性が高いです。このような場合に、このクリーンアップツールを活用してみてください。
- Zoom公式サイトからCleanZoomツールをダウンロード(無料)
- ツールを実行し「完全削除」を選択
- 完全削除後、Zoom公式サイトから最新版を再インストール
参考:Zoom公式「Zoom アプリケーションのアンインストールと再インストール」
セキュリティを向上させるための追加対策
今後同じようなことが起こることは十分に予想されます。そのため、次のような対策は常に心がけておきましょう。
1. 定期的なアップデートの習慣化
今回のような脆弱性を防ぐためには、Zoomに限らずすべてのソフトウェアを定期的にアップデートする習慣をつけることが重要です。月に1回程度、使用しているアプリの更新状況をチェックするようにしましょう。
2. 怪しいファイルやリンクに注意
今回の脆弱性は、攻撃者が悪意のあるファイルを読み込ませることで発生します。普段から次の点に注意しましょう。
- 不審なメールの添付ファイルを開かない
- 信頼できないウェブサイトからファイルをダウンロードしない
- USBメモリなどの外部記憶装置を安易に接続しない
まとめ:Zoom利用者はすぐに確認
2025年8月に発見されたZoomの脆弱性は、特にCVE-2025-49457については最高レベルの危険性を持つものです。攻撃者がシステム全体を乗っ取る可能性があるため、今すぐ最新版(6.3.10以上)へのアップデートが必要です。
アップデートの際に問題が発生した場合は、Zoom公式のクリーンアップツールを活用して確実に最新版をインストールしましょう。また、企業環境でZoomを使用している場合は、IT管理者と連携して全社的なアップデートを実施することが重要です。
リモートワークが当たり前になった現在、Zoomのようなコミュニケーションツールのセキュリティは非常に重要です。今回の件を機に、定期的なアップデートの習慣化とセキュリティ意識の向上を心がけていきましょう。
