Cisco Webex Meetingsの会議情報およびメタデータに関する問題（2024年6月）

2024年5月上旬、シスコはCisco Webex Meetingsに含まれるバグを特定しました。これらのバグは、対象を絞ったセキュリティ調査活動に利用され、特定のお客様のためにCisco Webex導入で会議情報とメタデータへの不正アクセスを可能にしたと考えられます。2024年5月28日の時点で、これらの不具合は修正され、世界中で修正が完全に実装されています。 

シスコは、使用可能なアクセスログに基づいて、このアクティビティの影響を受けると特定したお客様に通知しました。当社は、サービスを提供し、該当する記録保存要件およびデータ保護制限に準拠するために必要な期間のみアクセスログを保持するように努めているため、アクセスログは無期限に保持されず、定期的に削除されます。2024年5月6日より前の時点では、データセットに関するアクセスログは記録されていません。

バグにパッチが適用されて以来、シスコでは、バグを活用した新しい会議データまたはメタデータの取得に成功する試みを確認していません。

シスコでは現在も調査を継続しており、次の更新を提供しています。

• シスコは、対象を絞った研究活動に携わる同じ担当者が、2024年5月6日より前に会議データのより大きなデータセットを取得したと確信しています。
• バグ修正の導入前に取得された会議データを使用して公衆電話交換網(PSTN)から会議にダイヤルインする試みが正常に行われたことを、シスコは限られた数のお客様から通知されています。
• PSTNのダイヤルインが成功すると、その俳優は自分たちの身元を明らかにし、その取り組みはセキュリティ調査をサポートするためだと述べました。

スケジュールされた会議に対してPSTNを有効にしているお客様は、ダイヤルインユーザにパスコードが必要であることを確認することをお勧めします。パスコードが有効になっていない場合、パスコードを有効にするには、ホストが新しいパスコードで会議の招待状を再送信する必要があります。

Personal Meeting Rooms（PMR；パーソナル会議室）を設定しているお客様は、シスコのベストプラクティスガイダンス（下記を参照）で推奨されているように、ロビー機能が有効になっており設定されていることを確認することをお勧めします。このため、認証されていない外部の会議参加者は、主催者が直接会議に参加を許可しない限り、仮想ロビーで待機する必要があります。

2024年5月28日の時点で、世界でバグフィックスが完全に実装される前に取得された会議情報とメタデータを確認し、導入のリスクを評価することをお勧めします。

Cisco WebEx Meetingsをご利用のお客様は、通常のサポートチャネルを引き続き監視して、今後のご連絡に備える必要があります。さらにご質問がある場合は、これらのチャネルを使用することをお勧めします。シスコは常に、確立されたチャネルを通じてコミュニケーションを行います。

シスコは、お客様やセキュリティコミュニティと連携して業界全体のセキュリティを強化する機会を歓迎します。

パーソナル会議室、Cisco Webex会議ホスト用のPSTNダイヤルインオプション、およびCisco Webex管理者のセキュリティ機能の詳細なリストについては、「安全な会議のベストプラクティス：ホスト」と「安全な会議のWebexベストプラクティス：Control Hub」を参照してください。

その他のサポートの入手 
シスコ製品およびクラウドホステッドサービスに関する一般的なセキュリティおよびサポートの問題については、Cisco Technical Assistance Center(TAC)が設定とテクニカルサポートを提供できます。Cisco TACは、機密性の低いセキュリティインシデントや、セキュリティバグ修正のためのソフトウェアアップグレードにも対応できます。TACサポートに関する各国の連絡先情報。

回避策は不要で、問題は修正されています。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。