ネットワークセキュリティの要諦

無料翻訳サイトでの漏えいと「Superfish」を振り返る - (page 3)

三輪 賢一(パロアルトネットワークス)

2015-03-11 07:30

Lenovo「Superfish」問題

企業にとっての危険性

 PC世界シェア1位のLenovoの一部ノートPCに危険なセキュリティホールを作る恐れのある “Superfish” と呼ばれるソフトウェアがプリインストールされていたことが2月19日に米国で報道されました。

 Superfishは2006年にシリコンバレーで創業したビジュアル検索ソフトを開発する企業で、この会社が開発した「Superfish Visual Discovery」というソフトウェアが2014年9月から2014年12月までLenovoのコンシューマ向けノートPC製品の一部にプリインストールされていました。

 このソフトウェアは正規のウェブページに広告を挿入してポップアップ表示し、ユーザーセッションをハイジャックして監視し、ユーザーの個人情報を収集してサーバにアップロードします。また、この過程においてHTTPS接続において第三者からの信頼された証明書ではなく、Superfishが生成した自己署名証明書を信頼された証明書としてPCにインストールします。

 そのためユーザーがどのHTTPSサイトへアクセスしようにも、実際のサーバ証明書ではなく同じ自己署名証明書が使われることになり、なりすましサイトなど正規証明書を使用しない悪意あるサイトへユーザーがアクセスしたとしても、ブラウザに警告が出なくなってしまいます。ユーザーの意図しないところで勝手にSSL復号化が行われている形となり、その結果いわゆる中間者(man-in-the-middle:MITM)攻撃を受けている状態となってしまいます。

 さらにSuperfishは改ざん検知に利用される古い署名アルゴリズム「SHA1」を使うため、単にSSL通信をハイジャックするだけではなく、SSLのセキュリティレベルも下げてしまいます。

 また、Superfishが自己署名証明書を作成する過程で使用される秘密鍵もPCにインストールされ、これを取り出して悪用することも可能と言われています。これが可能になると、ユーザーとサーバ間の経路上で中間者攻撃を仕掛け、SSL通信の内容を傍受されたり改ざんされたりする恐れもあります。Lenovoによると、2015年1月からSuperfishがサーバと接続できないように無効化し、それ以降のLenovo製品にはプリロードしないと発表しています。

 Lenovoのサポートサイト でアンインストールする手順が記載されています。

 Superfishだけでなく、スウェーデンの “Ad-ware Web Companion” という無料セキュリティソフトなど同じ開発ライブラリを使う複数のソフトウェアについて同様の脆弱性があると報告されています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]