Infostand海外ITトピックス
Webセキュリティの取り組みを台無しに? 「Superfish」騒動
(2015/3/2 09:25)
SSLの防御を無効に
SSL証明書は、第三者の証明書(CA=認証局)を発行機関から受け取り、これを参照して、表示しているWebサイトが信用できることを確かめる仕組みだ。Webサイトとのやり取りは暗号化され、Webを安全に使うための重要なインフラとなっている。
ところがSuperfishは、正規の証明書を使う代わりに、自ら証明書を発行して、「信頼できる証明書」としてPCにインストールしてしまう。ユーザーは、いわば“オレオレ証明書”でチェックすることになり、どんな危険なサイトに接続していても本来出るはずのアラートが出なくなるのだ。
また、Superfishは自己証明書を作成する暗号鍵もインストールし、これは比較的簡単に取り出せるという。実際、問題が発覚した直後から「秘密鍵を取得した」と宣言するツイートや書き込みがネット上で広がった。本当であればHTTPSサイトの通信内容を傍受される可能性がある。
「Superfishのコア機能は、過去10年間組み上げてきたSSLのセキュリティを台無しにした」とRogers氏はブログで非難した。
メディアも一斉にSuperfishの危険性を取り上げ、これを受けてLenovoも公式声明を発表した。「既に1月にプリロードを中止し、接続するサーバーを停止した。懸念についても調査する」と約束。同時に同社の主力であるビジネス向け製品にはプリインストールとも強調した。翌20日には、McAfee、Microsoftと協力してSuperfishの削除ツールを提供すると発表。21日に配布を開始した。
だが、事態が沈静化するどころか、問題が広がっていく。2月23日には問題がSuperfishだけにとどまらない、と複数のメディアが伝えた。