ヤフトピを眺めていると「怪しいZoom」という見出しが目についた。しかし、情報の早い海外のセキュリティ系ニュースサイトやセキュリティ研究者達は1つも話題にしておらず、騒いでいるのは日本だけ。違和感を感じたので筆者も実際に問題のアプリケーションをダウンロードし調査したところ、2001年にリリースされた同名のPC高速化ツールであることがわかった。

　アプリ自体は無害であり、開発元とされるウェブサイトへの訪問のみ問題があることがわかった。

■Bingで「Zoom ダウンロード」と検索してみた

　筆者が目にした記事にはこのような記載があった。

　記事にある通り、Bingで「Zoom ダウンロード」と検索すると、確かに「オンラインビデオ会議サービス」とは異なるZoomのURLが検索結果に表示された。しかし、この時点でサイトの説明文には「システム最適化やコンピュータを素早く起動停止」など、「あのZoom」とは異なる内容が記載されていることがわかる。もし「あのZoom」を語るフィッシングサイトなら最近の傾向では、もっと本物に似せた紹介文が表示されるように造り込むだろう。

　検索結果をクリックして表示されるのがこのダウンロードページ。確かに「Zoom」というアプリケーションのダウンロードページではあるが日本語ではっきりと「コンピュータをすばやく起動＆停止」と書かれており、とても「オンラインビデオ会議サービスのZoomのフィッシングサイト」を装っているとは思えない。

　ちなみに、こちらが正規のZoomのダウンロードサイトだ。「怪しいZoom」と報道されたサイトとは全く異なっている。最近のフィッシングサイトはデザインやフォントまで本物そっくりに作り込まれていることが多く、Zoomのような話題のアプリを語るフィッシングサイトが、このように全く異なるデザインで作成されるとは考えにくい。

■「怪しいZoom」をインストールしてみた

　「怪しいZoom」とされたサイトからインストーラーをダウンロードし、実際にインストーラーを起動してみた。すると、「あのZoom」とは、全く似ていないロゴが表示され、URLもZoomと全然異なるURLが表示される。「あのZoomに似せて誰かを騙そう」としている意図は全く感じとれない。

　そして、ZoomがインストールされるとPCを起動するたびに、このようなポップアップが表示される。

　インストーラーに同梱されていたHelpによると、「Zoom will accelerate startups, reboots, shutdowns and standby & resumes.(Zoomは、起動、再起動、シャットダウン、スタンバイと再開を高速化します。)」と記載されている。Windowsの起動と再起動を高速化するツールなので、「起動のたびにZoomが立ち上がってくる」仕様になっているようだ。支払い条件として「デモ版は20回まで実行可能」とあり、ポップアップには20回中何回目の起動なのかが表示されている。

　この動作を「支払いを請求するマルウェア」と誤解した記事も見受けられた。

　また、インストール完了後にWindows Defenderにてインストールフォルダをスキャンしてみたが、脅威は検出されなかった。

■「怪しいZoom」は本当に怪しいのか?

インストーラーに同梱されていたリリースノートによるとZoomのVersion 1.0がリリースされたのは2001年。地道にバージョンアップを重ね2002年9月にVersion 1.3.1をリリースし、それ以降リリースが止まっているようだ。

　Googleで検索してみると、dachshundsoftware.com社製 Zoomに関する2003年のレビュー記事も見つけることが出来た。

　現在開発は継続されていないようだが、2001年から2003年前後までは利用者も存在したようであり、悪意のあるソフトウェアでは無かったのでは無いかと推測される。仮に悪意のあるソフトウェアだったとしてレビュー記事が投稿されるとは考えにくい。

　筆者はマルウェアの専門家ではないので断定は出来ないが、利用者のレビューが存在すること、Windows Defenderでも脅威が検出されなかったことを考えると、ソフトウェア自体には悪意は無いと推測される。

■dachshundsoftware.comにアクセスすると有害サイトの警告が

　次に「怪しいZoom」の開発元である、www[.]dachshundsoftware[.]comにアクセスしてみた。筆者の環境はアカマイ社のETPという脅威対策ソリューションで保護されているため、www[.]dachshundsoftware[.]comにアクセスすると、有害なサイトであるという警告が表示された。

　警告の内容を確認すると、www[.]dachshundsoftware[.]comにアクセスすると、lendjp1[.]siteというサイトに誘導されており、このサイトが有害なサイトと判定されているようだ。

　「怪しいZoom」の問い合わせ先となっている"www[.]dachshundsoftware[.]com"にアクセスすることは控えた方が良いだろう。

　なお、IPAの投稿した「偽の警告画面」は筆者の環境で表示されることは無かった。既に誘導サイトが消去されているのかもしれないし、筆者環境は脅威サイトへの通信はアカマイETPでブロックされ、ローカルPC環境はWindows Defenderで保護されるという多層防御となっているので、IPAの動画の環境とはセキュリティレベルに差異があるのかもしれない。

■もし、「怪しいZoom」をインストールしてしまったら?

　アプリケーション自体は無害と推測されるが、もし「あのZoom」と間違ってダウンロードしてしまい、かつインストールまでしてしまった場合には、「怪しいZoom」のインストールフォルダにUninstall.exeがあるのでそれを実行すればアンイストールすることが可能だ。

　※デフォルトではC:\Program Files (x86)\Dachshund Software\Zoom\Uninstall.exeが存在する。

　アンインストールすれば、PCを再起動してもポップアップが表示されることはない。

■結論。「怪しいZoom」は無害、ウェブサイトには訪問しないこと

　Windows Defenderでも脅威が検出されなかったことを考えると、ソフトウェア自体の危険性は低い。但し20年近く前のソフトウェアであるため、最新のWindows10等にインストールすれば不具合が起きる可能性はあるので、インストールすること自体は推奨しない。

　但し、開発元サイトへの訪問は避けた方がよい。これは推測だが「怪しいZoom」の開発が継続されていた当時は"www[.]dachshundsoftware[.]com"のドメインは正規の利用者によって利用されていたと推測される。しかし、開発が中止されこのドメインが悪意のある第三者によって取得され、現在は脅威サイトとして動作しているのではないかと推測される。こういった「昔利用されていたサイトを悪意のある第三者が乗っ取る」行為は、ドロップキャッチと呼ばれる行為であり、実行することは可能である。

　ヤフトピにまで掲載され話題を集めた「怪しいZoom」だが、筆者としては「アプリ自体は無害であり誤ってインストールしたとしてもアンインストールすれば無害。しかし、開発元とされるウェブサイトにはアクセスしないこと」を推奨する。

　念の為、正規の「オンラインビデオ会議サービス Zoomのダウンロード用URL」を記載しておく。

　　https://zoom.us/download