Webセキュリティの取り組みを台無しに？　「Superfish」騒動

SSLの防御を無効に

　SSL証明書は、第三者の証明書（CA＝認証局）を発行機関から受け取り、これを参照して、表示しているWebサイトが信用できることを確かめる仕組みだ。Webサイトとのやり取りは暗号化され、Webを安全に使うための重要なインフラとなっている。

　ところがSuperfishは、正規の証明書を使う代わりに、自ら証明書を発行して、「信頼できる証明書」としてPCにインストールしてしまう。ユーザーは、いわば“オレオレ証明書”でチェックすることになり、どんな危険なサイトに接続していても本来出るはずのアラートが出なくなるのだ。

　また、Superfishは自己証明書を作成する暗号鍵もインストールし、これは比較的簡単に取り出せるという。実際、問題が発覚した直後から「秘密鍵を取得した」と宣言するツイートや書き込みがネット上で広がった。本当であればHTTPSサイトの通信内容を傍受される可能性がある。

　「Superfishのコア機能は、過去10年間組み上げてきたSSLのセキュリティを台無しにした」とRogers氏はブログで非難した。

　メディアも一斉にSuperfishの危険性を取り上げ、これを受けてLenovoも公式声明を発表した。「既に1月にプリロードを中止し、接続するサーバーを停止した。懸念についても調査する」と約束。同時に同社の主力であるビジネス向け製品にはプリインストールとも強調した。翌20日には、McAfee、Microsoftと協力してSuperfishの削除ツールを提供すると発表。21日に配布を開始した。

　だが、事態が沈静化するどころか、問題が広がっていく。2月23日には問題がSuperfishだけにとどまらない、と複数のメディアが伝えた。