【更新 2026-07-17】本記事を見直し、修正しました。主な修正点:Zoomはアドバイザリ改訂(ZSB-26014 v1.1、2026年7月15日)でMeeting SDK for Windows を影響対象から除外したため、影響製品表と本文の該当記述を更新しました(CVE-2026-53412の影響対象は Zoom Workplace for Windows と Zoom Workplace VDI Client for Windows の2製品)。
Zoomは2026年7月14日(現地時間)、Windows版クライアントに影響する深刻な脆弱性CVE-2026-53412を公表しました。CVSSスコアは9.8(クリティカル)で、認証されていない攻撃者がネットワーク経由でアカウントを乗っ取れる恐れがあります。Zoom Workplace for Windows 7.0.0未満を利用している組織は、早急なアップデートが必要です。公表時点で実際の悪用は確認されていませんが、Web会議クライアントは全社に配布されていることが多く、放置のリスクは大きい脆弱性です。
この記事でわかること
- CVE-2026-53412の内容と影響を受けるバージョン
- 同時に修正された3件の脆弱性(権限昇格など)の概要
- 情シスが自社環境で確認すべきポイント(VDI環境の注意点を含む)
何が起きたのか
Zoomはセキュリティ情報「ZSB-26014」で、Windows向け製品の入力検証不備(Improper Input Validation)に起因する脆弱性CVE-2026-53412を公表しました。悪用されると、認証されていない攻撃者がネットワークアクセス経由でアカウント乗っ取りを行える可能性があります。CVSSベクターは「AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H」で、攻撃条件の複雑さは低く、ユーザー操作も不要とされています。報告者はZoom社内のOffensive Securityチームです。
影響を受ける環境
影響を受けるのはWindows向けの以下の製品・バージョンです。macOS版・モバイル版は本脆弱性(CVE-2026-53412)の対象として挙げられていません。
| 製品 | 影響を受けるバージョン | 修正版 |
|---|---|---|
| Zoom Workplace for Windows | 7.0.0未満 | 7.0.0 |
| Zoom Workplace VDI Client for Windows | 7.0.10未満(6.6.15、6.5.18の各ブランチ含む) | 7.0.10 / 6.6.15 / 6.5.18 |
当初のアドバイザリ(ZSB-26014 初版)にはZoom Meeting SDK for Windowsも影響対象として挙げられていましたが、Zoomは2026年7月15日の改訂(v1.1)でMeeting SDKを影響対象から除外しました。したがってCVE-2026-53412の対処という観点では、Meeting SDK単体の更新は必須ではありません。一方で見落としやすいのがVDIクライアントで、修正版がブランチごとに分かれるため、利用中のブランチを確認して適用する必要があります。
同時に修正された3件の脆弱性
同日、Zoomは深刻度「高(High)」の脆弱性3件も公表しています。
- CVE-2026-53409:Zoom Rooms for Windows(7.1.0未満)の権限管理不備。ローカル認証済みユーザーによる権限昇格の恐れ。
- CVE-2026-53410:複数製品のインストール/アンインストール処理におけるTOCTOU(検証時と使用時の不整合)の競合状態。
- CVE-2026-53411:Zoom Workplace VDI Plugin for Windowsの入力検証不備。ローカル認証済みユーザーによる権限昇格の恐れ。
権限昇格の仕組みについては権限昇格とは?攻撃の仕組みと情シスの対策で解説しています。会議室常設のZoom Rooms端末は「入れたきり」になりがちなので、更新対象からの漏れに注意してください。
想定されるリスク
アカウント乗っ取りが成立した場合、影響は「会議を覗かれる」だけにとどまりません。海外報道では、乗っ取られたアカウントを通じてチャット履歴、クラウド録画、連絡先情報へのアクセスや、SSO連携している場合の社内インフラへの波及が指摘されています。Zoomを社内のID基盤(SSO)と連携させている組織ほど、影響範囲の見積もりは慎重に行うべきです。なお、公表時点で実際の悪用や実証コード(PoC)の公開は確認されていません。
情シスはどうすべきか
確認すべきポイントは次のとおりです。
- バージョン確認と更新:資産管理ツールでWindows端末のZoomクライアントのバージョン分布を確認し、7.0.0未満の端末を更新する。自動更新が無効な端末(キッティング時の設定など)が残っていないかも確認。
- VDI環境は別トラック:VDIクライアントは修正版が3ブランチ(7.0.10/6.6.15/6.5.18)に分かれる。利用中のブランチを確認して適用する。仮想デスクトップ側のVDI Plugin(別途CVE-2026-53411の対象)も忘れずに。
- Zoom Rooms端末の棚卸し:会議室に常設したZoom Rooms端末(CVE-2026-53409で権限昇格の対象)は更新から漏れやすいので確認する。
深刻度の読み方や対応優先度の付け方はCVSSとは?脆弱性の深刻度を評価する仕組みを参照してください。また、脆弱性対応の体制づくり全般については、IPAの中小企業の情報セキュリティ対策ガイドラインが、パッチ適用を含む管理策の整理に役立ちます。
現場目線の所感
Web会議クライアントは「全端末に入っているのに、資産管理の優先度は低い」ソフトウェアの代表格です。ブラウザやOSと違って更新が話題になりにくく、いざ調べると驚くほど古いバージョンが残っていることがあります。特にVDI環境は「クライアント側」と「仮想デスクトップ側のプラグイン」の両方を更新する必要があり、片方だけ更新して安心してしまうケースが現場では起きがちです。今回はブランチも3系統に分かれており、担当者が自社の構成を正確に把握していないと適用漏れが出やすい構図です。これを機に、会議系ソフトウェアをパッチ管理の定常サイクルに組み込めているか、見直す価値があると感じます。
まとめ
- Windows版ZoomにCVSS9.8の脆弱性CVE-2026-53412。認証不要でアカウント乗っ取りの恐れがあり、Zoom Workplace 7.0.0未満は早急に更新する。
- VDIクライアント(3ブランチ)とVDIプラグイン、Zoom Rooms端末など「見落としやすい適用先」の棚卸しが対応の肝。
- 公表時点で悪用は未確認だが、SSO連携環境では影響が社内インフラに波及しうるため優先度は高い。

