レノボジャパンは20日、同社のパソコンに搭載したSuperfish社のソフトウェア「VisualDiscovery」に、深刻な脆弱性があるとして注意を呼びかけた。同社から削除ツールが提供されているほか、各社のセキュリティ対策ソフトも対応を進めている。
問題の「VisualDiscovery」は、ブラウザを乗っ取り、閲覧中のWebページに広告を挿入する、いわゆる「アドウェア」と呼ばれるもの。このようなものがプリインストールされていることも問題だが、このアドウェアが使用していたKomodia社のコンポーネントに深刻な脆弱性があり、悪用されると通信の盗聴や改ざん、なりすましなどが行われるおそれがある。
対象となるのは、今年1月にプリインストールを取りやめた以前に出荷された、G/U/Y/Z/S/Flex/MIIX/YOGA/Eシリーズのコンシューマー向けノートブックPCである。ThinkPadノートブックPCや、デスクトップPC、スマートフォンはプリインストールされていないので、影響を受けない。該当者は、下記の「Superfishのアンインストール方法」のページの指示に従って、問題のソフトウェアなどを削除していただきたい。
各社のセキュリティ対策ソフトも対応を進めており、最新の定義ファイルに更新した対応済み製品では、スキャンすると自動的に削除する。Windowsが標準搭載している「Windows Defender」や「Microsoft Security Essentials」も、21日配信の定義ファイルで対応したようで、削除されたとの報告がネット上にあがっている。
■脆弱性について
Komodia社の情報によると、問題のコンポーネントは、ブラウザの通信に介入するために中間者攻撃の技法を使用しているという。[ブラウザ]⇔[コンポーネント]⇔[Webサイト]という形で通信を中継することにより、間で通信の傍受や改ざんが行えるようにしているのだ。
このコンポーネントは、SSLで保護された暗号化通信でも機能するように、SSL通信に欠かせない電子証明書を自分で発行する機能を内包している。[ブラウザ]⇔[Webサイト]間で行っているはずの本来のSSL通信を乗っ取ったため、正規の電子証明書を使った通信は、[コンポーネント]⇔[Webサイト]間で完結してしまう。そこで、接続先に合わせた電子証明書をリアルタイムに発行できる仕組みを用意し、その都度接続先に応じた証明書を偽造し、[ブラウザ]⇔[コンポーネント]間の通信に使用する。電子証明書を厳密にチェックしないと本物か偽物か区別できないので、正常なSSL通信に見えてしまう。
電子証明書を偽造するためには、電子証明書の発行元として振る舞い、発行元の秘密鍵を使って署名した電子証明書を作成しなければならない。そこで、信頼できる発行元になるためのルート証明書と呼ばれるものをインストールし、署名用の秘密鍵をコンポーネント自身が内部に持つようにしていた。秘密鍵は、ユーザーごとに異なるのものではなく共通のもので、プログラムの解析によりそれが抽出されてしまったため、問題のルート証明書がインストールされたシステムで機能する、任意のサイトの電子証明書を、誰でも勝手に作成できるようになってしまった。
(2015/02/23 ネットセキュリティニュース)
【関連URL】
・Superfishに関するレノボの見解 (レノボ)
http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml
・Superfish に関するレノボからのお知らせ(レノボ)
http://www.lenovo.com/news/jp/ja/2015/02/0221.shtml
・Superfishのアンインストール方法(レノボ)
http://support.lenovo.com/jp/ja/documents/ht102634
・Superfishの脆弱性(レノボ)
http://support.lenovo.com/jp/ja/documents/HT102633
・Vulnerability Note VU#529496:Komodia Redirector with SSL Digestor fails to properly validate SSL and installs non-unique root CA certificates and private keys[英文](CERT)
http://www.kb.cert.org/vuls/id/529496