Lenovoの「SuperFish」問題はさらに深刻、大手サイトへの攻撃兆候も

米電子フロンティア財団によれば、この問題は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの大手サイトが狙われている痕跡もあることが分かったという。

» 2015年02月27日 08時22分 公開
[鈴木聖子,ITmedia]

 Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェア「SuperFish」に深刻な脆弱性が発覚した問題で、米電子フロンティア財団(EFF)は2月25日、この脆弱性は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの大手サイトが狙われている痕跡があることが分かったと伝えた。

 Superfishの脆弱性では、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり、Webサイトを偽装されたりする恐れが指摘されていた。

 この問題はイスラエル企業のKomodiaが提供する「Komodia Redirector SDK」に起因する。同SDKは他にも多数のソフトウェアに使われていることが分かっている。同SDKを使ったアプリケーションでは、Webブラウザの証明書ストアにルートCA証明書がインストールされ、警告を表示させることなく全てのWebトラフィックを傍受することが可能になる。

不適切な証明書の利用も問題になっている

 EFFによれば、新たに発覚した問題は、証明書のSubject Alternative Name(サブジェクトの別名)という項目に関連している。この項目は、例えば「eff.org」と「www.eff.org」など、異なる複数のドメインを同じ証明書で別名としてカバーするために使われる。

 Komodiaの脆弱性を悪用する攻撃者がこの仕組みを利用すれば、標的とするドメインを別名として追加した不正な証明書を作成して、Komodiaがインストールされているシステムに受け入れさせることが可能になる。Webブラウザでは有効な証明書として認識され、警告は表示されない。

 EFFが調べた結果、本来はKomodiaで拒絶すべきなのに受け入れてしまった証明書の事例が1600件以上見つかったという。影響を受けるドメインには、Google(mail.google.com、accounts.google.comなど)、Yahoo!(login.yahoo.comなど)、MicrosoftのBingやWindows Live Mail、Amazon、eBay、Twitterといった大手のドメインや、銀行や保険会社のWebサイトのドメインが含まれていた。

 FTTは、「Komodiaのソフトウェアのために中間者攻撃が可能になり、攻撃者がユーザーのメールや検索履歴、ソーシャルメディアや銀行のアカウントなどにアクセスできてしまう恐れがある。ユーザーのブラウザに侵入したり暗号鍵を読んだりする不正ソフトをインストールされる可能性さえある」と解説する。

 しかも問題があるのはKomodiaだけでなく、プライバシー保護をうたうソフトウェア「PrivDog」にも同じ脆弱性があることが分かり、攻撃に使われた可能性のある証明書が見つかっているという。

 今回の教訓としてEFFは、「コンピュータにプリインストールされてくるソフトウェアは信用できない」と断言。ソフトウェアメーカーに対しては、「顧客の暗号化されたHTTPSトラフィックを傍受しようとすれば、顧客のセキュリティを危険にさらすことになる」という認識が必要だと指摘している。

「SuperFish」に端を発した問題が広範囲に

関連キーワード

EFF | レノボ | 脆弱性 | SDK


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ