導入:華やかなメジャーアップデートの嘘
2026年3月24日、Zoomはバージョン 7.0.0 を華々しくリリースしました。「AI Companion 3.0」や「AIアバター」といった最新機能を前面に押し出し、次世代のコミュニケーションツールとしての進化を謳っています。しかし、その輝かしい発表の裏側で、リリースノートに刻まれたのは 「Minor bug fixes」 という、あまりに無責任な一行でした。
この「魔法の言葉」によって隠蔽された、深刻なセキュリティ上の懸念を解剖します。
第1の罪:野生のゼロデイ「Skia × V8」チェーンへの沈黙
最も看過できないのは、Chromiumエンジンにおける致命的なゼロデイ脆弱性への対応状況です。
Googleは2026年3月10日、既に野生での悪用が確認されている CVE-2026-3909 (Skia) および CVE-2026-3910 (V8) の修正を完了しました。CISA(米サイバーセキュリティ・インフラセキュリティ局)も即座にこれらを KEV(悪用が確認された脆弱性)カタログに追加し、警戒を呼びかけています。
技術的な深刻度
- CVE-2026-3909 (Skia): 描画エンジンにおける Out-of-bounds write。メモリ破壊を引き起こす。
- CVE-2026-3910 (V8): JavaScriptエンジンにおける不適切な実装。サンドボックス脱出を可能にする。
これらを組み合わせることで、細工されたHTMLページを表示するだけでリモートからシステムを完全に乗っ取ることが可能な「必殺のチェーン攻撃」が成立します。Chromiumを内蔵しているZoomにとって、これは「対岸の火事」ではありません。しかし、Zoomが3月10日に公開したセキュリティ速報(ZSB)は、自社固有の軽微なバグを語るのみで、この巨大な地雷については口を閉ざしたままです。
第2の罪:物理的に不可能なパッチサイクル
次に、リリースのタイミングという物理的な矛盾が浮上します。
GoogleがWebGL関連の8件の深刻な脆弱性(CVE-2026-4673〜、CVSS 8.8)を修正したChromeをリリースしたのは、3月23日のことです。そのわずか 24時間後 に、Zoom 7.0.0 はリリースされました。
大規模なソフトウェアのビルドと回帰テストの工程を考えれば、この24時間という短期間で最新のChromiumパッチを統合し、検証を終えてリリースすることは限りなく不可能です。つまり、Zoom 7.0.0 は、修正版Chromeから攻撃コードが逆算(リバース)される 「1Day攻撃」 の絶好のターゲットとして、無防備に市場へ投入された可能性が極めて高いのです。
第3の罪:徹底した「Chromium」の抹消と隠蔽
さらに巧妙なのは、製品構造の変化です。これまでのバージョンに存在した libcef.dll(Chromium Embedded Framework)が削除され、代わりに見慣れない libcml.dll というコンポーネントへ不透明な形で統合されています。
特筆すべきは、この libcml.dll のファイルサイズが 15,116 KB(約15MB)にも達している 点です。単一のライブラリとしてはあまりに巨大であり、削除された libcef.dll の機能をバイナリレベルで飲み込み、事実上のカプセル化(難読化)を施したと考えるのが自然です。
実際、バイナリ内の文字列を確認すると、その隠蔽体質はさらに顕著になります。通常の Chromium ベースのアプリケーションであれば、strings コマンドをかければ大量の “Chrome” や “Chromium” という識別文字列、およびエンジン由来のバージョン番号がヒットします。しかし、libcml.dll においてそれらは徹底的に抹消されており、ヒットするのは Zoom 自身のビルド番号(7.0.0.x)のみという、極めて異常な状態にあります。
これに呼応するように、Zoomが公開しているオープンソースソフトウェア(OSS)リストからも、「Chromium」 という名前そのものが消滅しました。
これは、脆弱性スキャナに「古いChromium」を検知させないための工作と推測されます。OSSリストから名前を消すことで、Chromium由来の脆弱性に対する説明責任から逃れようとする意図が透けて見えます。
結論:脆弱性の「博物館」の上に立つAIの城
Zoomが公開しているOSSリストを詳細に分析すると、さらに驚くべき事実が浮かび上がります。そこには、10年以上前の遺物である SDL 1.2 や libjpeg-turbo 1.2.1、そして何百もの既知の脆弱性を抱えたままの FFmpeg 4.2.3 が並んでいます。
基礎がシロアリに食い荒らされた古い家(化石ライブラリ群)に、AIという最新の壁紙を貼って「新築」と言い張る。それが Zoom 7.0.0 の正体です。
主要な脆弱性の対応状況(推定)
| 脆弱性ID | 対象 | 深刻度 | 悪用確認 | Zoom 7.0.0 の対応 |
|---|---|---|---|---|
| CVE-2026-3909 | Skia (描画) | 8.8 (High) | あり | 言及なし (隠蔽) |
| CVE-2026-3910 | V8 (JSエンジン) | 8.8 (High) | あり | 言及なし (隠蔽) |
| CVE-2026-4673 | WebAudio/GL | 8.8 (High) | なし | 未修正 (タイミングより) |
混迷を極めるサプライチェーン管理
Zoom公式のOSSリストを確認すると、管理の破綻は明白です。
- ライセンスのグレーゾーン:
h323plusやopal系など、バイナリ配布において厳格な義務が生じるMPL/LGPLライブラリが複数バージョン混在(opal 3.6.8, 3.10.0, 3.10.1)しており、どれが実態なのか不明。 - 不可解な混入:
Text-Template-1.46(Perlモジュール)やOpenMS-1.1(バイオインフォマティクスツール)、さらには開発終了したロシア製の画面録画ソフトwebinaria-sourceなど、ビデオ会議ツールとの関連が説明不可能なライブラリが羅列されています。
これは、ビルド環境の依存関係を誰も正確に把握できていない証左です。「出さなければバレない」という隠蔽体質以前に、サプライチェーン管理そのものが崩壊している のです。
AIという虚飾に目を奪われる前に、私たちはその足元にある巨大な空洞を直視しなければなりません。