ダークウェブやハッカーフォーラムでは、少なくとも50万件のZoomアカウントの認証情報が売買されています。認証情報はごくわずかな価格で販売されており、中には無料で配布されているものさえあります（BleepingComputer経由）。

クレデンシャルスタッフィング攻撃によりアカウント詳細が漏洩

認証情報はクレデンシャルスタッフィング攻撃によって取得されます。ハッカーは過去の侵害データを利用してZoomへのログインを試みます。ログインに成功した認証情報は、ごくわずかな金額で販売されるか、無料で配布されます。（サイバーセキュリティ企業Cybleは、1アカウントあたり0.0020ドルで約53万件の認証情報を購入しました。）ハッカーはこれを利用して、被害者を「Zoombomb」したり、その他の攻撃やいたずらを行ったりすることができます。入手された認証情報の中には、教育機関や大手銀行に関連するものもありました。

Zoomにとってさらなる悪いニュース？

これらすべてはZoomにとってさらに悪いニュースのように聞こえます。そして、結局のところ、その通りです。しかし、いくつか注目すべき点があります。第一に、現在販売されている認証情報の一部は、ハッカーが以前のクレデンシャルスタッフィング攻撃の際に入手した可能性が高いということです。第二に、この種の攻撃はZoomに限ったものではありません。しかし、このことから次の2点が浮かび上がります。

• できればサードパーティのパスワード マネージャーまたは Apple のキーチェーン機能を使用して強力なパスワードを使用し、定期的に変更してください。
• Zoomを使用する際は、安全対策を講じてください。簡単でありながら、必ずしも万全とは言えない対策の一つは、会議が始まったら部屋を施錠することです。