Infostand海外ITトピックス

Webセキュリティの取り組みを台無しに? 「Superfish」騒動

攻撃は既に始まっている?

 Superfish問題発覚のあと、急展開が続いた。LenovoとSuperfishに対する消費者の集団訴訟の動きが活発化し、26日にはLenovo.comのWebサイトが何者かにハッキングされた。昨年、PlayStation Networkで大規模障害を起こさせたハッカーグループLizard Squadが関与をほのめかしている。

 だが、最も重要なのはEFF(Electronic Frontier Foundation)の警告だろう。Joseph Bonneau氏とJeremy Gillula氏という2人のEFFのセキュリティ研究者は、Superfishの脆弱性を利用したハッキングが既に行われている可能性があると発表した。

 EFFによると、SSL証明書には、1つの証明書で複数のドメイン名を追加できるフィールド「Subject Alternative Name」があり、ここにターゲットのドメイン名が入った不正証明書を作れば、Komodia Redirectorの脆弱性を持ったソフトウェアを攻撃できてしまうという。

 2人がEFFのSSL証明書データベース「Decentralized SSL Observatory」を調べたところ、Komodiaが受け入れるべきでないにもかかわらず受け入れてしまった不正証明書が1600件以上みつかった。ドメインには、Google、Yahoo、Bing、Windows Live Mail、Amazon、eBay、Twitterなど大手サイトのほか、銀行、保険会社のWebサイトも含まれていたという。

 またPrivDogのユーザーからは、1万7000以上の異なる証明書を集めた。その一つひとつに攻撃に使われた可能性があるとしている。

 EFFは今回の事件から学ぶべき教訓を次のように総括している。

 「ソフトウェアベンダーが顧客の暗号化されたHTTPS通信を妨害すれば、顧客にセキュリティリスクとなる。証明書の妥当性確認は、ブラウザの開発者が何十年も慎重に取り組んできた非常に複雑で手の込んだプロセスで行われている。妥当性確認をブラウザ外に持ち出し、綿密なセキュリティ検査なしにゼロから暗号化ソフトを設計しようとすれば、大惨事になるのだ」

行宮翔太=Infostand