SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきかセキュリティクラスター まとめのまとめ 2015年2月版(1/3 ページ)

PCにプリインストールされたソフトが通信に割り込み、その内容を全て見ていたかもしれない――2015年2月、レノボの「SuperFish」問題は大きな爪痕を残しました。

» 2015年03月10日 18時00分 公開
「セキュリティクラスター まとめのまとめ」のインデックス

連載目次

 2月と言えば情報セキュリティ月間改め「サイバーセキュリティ月間」です。脆弱性による大きなインシデントは発生せず、ほっとしていたのもつかの間、レノボのPCにSSL通信を書き換えるアドウエアが、レノボ自身の手によって仕込まれていることが明らかとなり、大きな騒ぎとなりました。

 さらに、セキュリティクラスターの風物詩的なものとして長く見守られていたいわゆる「バリデーション論争」がついに終わりを迎えることとなります。

レノボのPCに「SuperFish」の凶悪なアドウエアが仕込まれていた!

 筆者を含め、レノボのPCを使用している人は多いと思いますが、そのレノボが自社製品にアドウエアをインストールしていることが発覚します。

 組み込まれていたのはSuperFishの「VisualDiscovery」というアドウエアで、Webプロキシとして通信に割り込み、検索の結果やWebサイトを表示する際に、内容を書き換えて広告を挿入していました。しかもルート証明書を勝手にインストールして、SSLによる暗号化通信の内容も読み書きしており、オンラインバンキングやオンラインショッピングなど暗号化通信を横取りしてSuperFishに送信されていた可能性もあったというのです。

 SuperFishの存在が話題になったとほぼ同時に、Superfishが稼働する全てのPCで同じ証明書が使われていること、さらにはその秘密鍵が明らかになります。これにより、SuperFishがインストールされたPCは、誰もが中間者攻撃を仕掛けることが可能になるという、非常に残念な事態となります。

 その後のレノボの対応が、ユーザーの怒りに火に油を注ぐことになります。当初のお詫びでは「セキュリティ上の懸念を実証するいかなる証拠も見つかりませんでした」と開き直り、セキュリティクラスターの怒りを買いますが、数時間後何ごともなかったかのように消去され「ユーザーエクスペリエンスを向上させようという努力の一環」と書き換わります。いずれにせよ、「自分は悪くない」と言いたげな態度で、タイムラインには怒りのツイートが並びました。

 この事件に関して、もうレノボ製品を買わないというツイートが多く行われていただけでは終わりません。実際に集団訴訟が行われたり、ソニーを攻撃したことで有名なハッカーグループ「Lizard Squad」によって公式サイトが改ざんされるなど、レノボが支払う代償は少なくないようです。

 また、SuperFish以外のウイルススキャナーなど、似たような動作でSSL通信を監視(のぞき見?)するツールについて言及するツイートも見られました。SuperFishだけではなく、他のアプリケーションも似たような挙動をしているものがあるなど、注意を払う必要があるかもしれません。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。