Infostand海外ITトピックス

Webセキュリティの取り組みを台無しに? 「Superfish」騒動

同じ危険を持つソフトが続々

 Ars Technicaは23日、さらに「Ad-aware Web Companion」と「PrivDog」という2つのソフトが中間者攻撃の脆弱性を持っていると報じた。

 「Ad-aware Web Companion」は、スウェーデンのアンチウイルスソフトベンダーLavasoftの無料プライバシーソフトで、やはり自己証明書を作成するという。実は、Superfishの脆弱性は、イスラエルのKomodiaの「Komodia Redirector SDK」のライブラリを採用したのが原因で、同じライブラリを採用したLavasoftも同じ問題を抱えることになったのだという。

 その後、Komodia Redirectorを採用したベンダーが次々に判明し、CERTは影響を受けるベンダーのリストを公開している。ペアレンタルコントロール、プライバシーコントロール、広告ブロックなどの製品が採用しており、Atom Security、Infoweise、KeepMyFamilySecure、Kurupira、Qustodio、Websecureといったベンダーが該当するという。総数はLenovoなども含めて10社にのぼっている。

 もう一つの「PrivDog」はAdtrustmediaが提供している広告差し替えソフトだ。無料総合セキュリティソフト「COMODO Internet Security」にも含まれているが、問題のあるのはスタンドアロン版だけだという。開発元は報道を受けて、脆弱性を修正した新バージョンをリリース。自動アップデートで修正も行い、影響を受けたユーザーは5万8000人に満たないと説明した。

 だが、一部のセキュリティ専門家は、PrivDogはSuperfishよりも危険だと考えている。セキュリティ企業Bromiumの共同創業者Simon Crosby氏はBBCに対し、次のように述べている。

 「(PrivDogは)おそらくブラウザとリモートサイト(ユーザーの銀行のような)のセキュアな通信を妨害し、復号化し、自身の広告をブラウザのページに挿入している」「これは実際、もっと恐ろしいことだ。PrivDogはユーザーのブラウザを、あらゆる証明書を正当性のチェックをすることなく受け入れるようにしてしまう。このことは、例えば、フィッシング攻撃に対する脆弱性を増してしまう」

(行宮翔太=Infostand)