Lenovo「Superfish」問題
企業にとっての危険性
PC世界シェア1位のLenovoの一部ノートPCに危険なセキュリティホールを作る恐れのある “Superfish” と呼ばれるソフトウェアがプリインストールされていたことが2月19日に米国で報道されました。
Superfishは2006年にシリコンバレーで創業したビジュアル検索ソフトを開発する企業で、この会社が開発した「Superfish Visual Discovery」というソフトウェアが2014年9月から2014年12月までLenovoのコンシューマ向けノートPC製品の一部にプリインストールされていました。
このソフトウェアは正規のウェブページに広告を挿入してポップアップ表示し、ユーザーセッションをハイジャックして監視し、ユーザーの個人情報を収集してサーバにアップロードします。また、この過程においてHTTPS接続において第三者からの信頼された証明書ではなく、Superfishが生成した自己署名証明書を信頼された証明書としてPCにインストールします。
そのためユーザーがどのHTTPSサイトへアクセスしようにも、実際のサーバ証明書ではなく同じ自己署名証明書が使われることになり、なりすましサイトなど正規証明書を使用しない悪意あるサイトへユーザーがアクセスしたとしても、ブラウザに警告が出なくなってしまいます。ユーザーの意図しないところで勝手にSSL復号化が行われている形となり、その結果いわゆる中間者(man-in-the-middle:MITM)攻撃を受けている状態となってしまいます。
さらにSuperfishは改ざん検知に利用される古い署名アルゴリズム「SHA1」を使うため、単にSSL通信をハイジャックするだけではなく、SSLのセキュリティレベルも下げてしまいます。
また、Superfishが自己署名証明書を作成する過程で使用される秘密鍵もPCにインストールされ、これを取り出して悪用することも可能と言われています。これが可能になると、ユーザーとサーバ間の経路上で中間者攻撃を仕掛け、SSL通信の内容を傍受されたり改ざんされたりする恐れもあります。Lenovoによると、2015年1月からSuperfishがサーバと接続できないように無効化し、それ以降のLenovo製品にはプリロードしないと発表しています。
Lenovoのサポートサイト でアンインストールする手順が記載されています。
Superfishだけでなく、スウェーデンの “Ad-ware Web Companion” という無料セキュリティソフトなど同じ開発ライブラリを使う複数のソフトウェアについて同様の脆弱性があると報告されています。