サム・オリバー
· 1分で読めます
Googleのセキュリティエンジニア、クリス・パーマー氏が指摘したように、バンク・オブ・アメリカのウェブサイトはスーパーフィッシュ証明書で署名されている。
中国のパソコンメーカー、レノボは、ユーザーのブラウザセッションを乗っ取ってカスタマイズされた広告を挿入し、暗号化された接続のセキュリティを著しく低下させるソフトウェアをプリインストールしたノートパソコンを多数販売していたことが明らかになり、広報面で大失態の渦中にいる。
Superfishというビジュアル検索会社が開発したこのアドウェアは、コンテキスト検索プラットフォームであり、Lenovoマシンのブラウザを経由するリクエストの透過的なプロキシとして機能することが確認されています。ウェブサイトのコンテンツを分析し、関連性が高いと判断した広告を挿入します。
SuperfishはHTTPSリクエストにアクセスするために、自己署名ルート証明書も搭載しています。HTTPS経由で読み込まれるページは、サイト所有者の実際の証明書ではなく、この証明書で署名されているため、Superfishはコンテンツを復号できます。
これは深刻なセキュリティ問題を引き起こします。証明書の暗号化パスワード(Errata SecurityのRobert Graham氏が容易に発見しました)を知っている人は誰でも、秘密鍵を抽出して中間者攻撃を実行し、証明書がインストールされているコンピュータの通信を傍受したり、正規のサイトを装った偽のフィッシングサイトを作成したりすることができます。
レノボは声明の中で、「9月から12月にかけての短期間に出荷された一部のコンシューマー向けノートパソコン製品」にSuperfishを搭載していたことを認めた。同社は、広告挿入技術を支えるバックエンドサービスはすでに無効化されており、今後の製品にはSuperfishを搭載しないと約束した。
残念ながら、自己署名ルート証明書のインストールを許可すること自体がセキュリティ上の懸念を緩和するものではありません。明らかな影響があるにもかかわらず、Lenovoは懸念していないようです。
同社は同じ声明の中で、「当社はこの技術を徹底的に調査したが、セキュリティ上の懸念を裏付ける証拠は見つからなかった」と述べた。
