Infostand海外ITトピックス
Webセキュリティの取り組みを台無しに? 「Superfish」騒動
(2015/3/2 09:25)
PC最大手Lenovoのノートパソコンの一部に、危険なセキュリティホールを作る恐れのあるソフトウェア「Superfish」がプリインストールされていたことが分かり、問題となっている。Lenovoは製品へ搭載を中止し、駆除ツールを提供するなどの対応をとった。だが、新たにLenovo以外にも、同様の危険性を持ったソフトウェアが多くあることが分かり、騒ぎは拡大している。
Lenovoノートパソコンにプリインストール
Superfish(正式名Superfish Visual Discovery)は、広告表示ソフト「アドウェア」の一種で、ブラウザで表示するWebサイトにコンテキスト広告を挿入してユーザーに見せる。パロアルトの画像検索技術ベンチャーSuperfishの製品で、Lenovoは、主にコンシューマー向けノートパソコンにインストールして出荷していた。「(Superfishは)ユーザーが商品をビジュアルに見つけ出すための助けとなり、Webの画像を即座に分析して、類似のものを提示する」と説明している。
Superfishについては昨年9月、一部のユーザーがLenovoのユーザーフォーラムに「検索結果に巧みに広告を挿入するSuperfishというアドウェアがある」として苦情が出たことがある。しかし、その時点は危険性は認識されておらず、問題が表面化したのは今年2月19日、セキュリティ専門家がSuperfishを危険なソフトと報告。なりすましや改ざんを防ぐSSLに大きなセキュリティホールを開ける恐れがあると警告したことからだ。
そうした専門家の一人で、ハッカー会議「DEFCON」のセキュリティ責任者としても知られるMarc Rogers氏は、Superfishの機能を次のようにまとめている。
1.正規のページに広告を挿入する
2.広告ソフトでポップアップ広告を表示する
3.正規の接続をハイジャックする
4.ユーザーアクティビティをモニターする
5.個人情報を収集し、サーバーにアップロードする
6.オープンのセキュアな接続をクラックするのに中間者攻撃技術を利用する
7.正規のWebサイトの(SSL)証明書の代わりに、自身の偽証明書をユーザーに見せる
目に見える機能である1.、2.については既に知られていたが、3.以下は明らかになってなかった。特に7.のSSL証明書の偽造・偽装は深刻だという。