PCメーカ「Lenovo」が出荷した一般消費者向け PC の一部のバージョンにプレインストール済みのソフトウェア「Superfish Visual Discovery」(以下「Superfish」)に、どこにでも見かけるような単なる「アドウェア」以上の機能が備わっているというユーザからの報告がオンライン上で公開されました。トレンドマイクロではこの不審なプログラムを「ADW_SUPERFISH」として検出対応しています。このアドウェアは、2014年9月から 12月の間に Lenovo の PC に実装されて出荷されていました。このアドウェアの出荷は 2015年1月に停止されていますが、すでに流通ルートに乗ってしまった PC は世間に出回っています。
■「Superfish」の懸念すべき点とは
「Superfish」は一般のアドウェアと同様に、Web表示に広告を挿入し表示させる機能を持っています。これ自体は利用者によっては迷惑と感じるものかもしれませんが、危険なものではないと言えるかもしれません。
真の問題は、「Superfish」がインストールする認証局(CA:Certification Authority)の鍵ペアがすべての端末で同一だったこと、しかもその秘密鍵の情報がインターネット上に漏えいし、公開されてしまっていることです。悪意の攻撃者はこれを利用して、不正サイトを信頼できるコンテンツとして見せかけたり、「Man-In-The-Middle(MitM、中間者)攻撃」を実行して保護された Webサイトになりすまして暗号化された SSL/TLS通信を傍受することが可能になります。
すでにこの証明書が悪用されたことを示唆する画像が Twitter上で公開されています。
また、この「Superfish」の証明書では暗号化方式として SHA-1 および 1,024ビット RSAキーが使用されていました。これらは、NIST(アメリカ国立標準技術研究所)によって2014年以降署名には利用しないよう勧告されている、既に強度が十分でない暗号化方法です。
さらに、「Superfish」をアンインストールしたり削除したりしても、関連するルート証明書は削除されないことも大きな問題です。つまり、一度「Superfish」をインストールした PC では、同じ攻撃を受ける危険性にずっとさいなまれることになります。
「Superfish」のプレインストールされた PC の使用者は、まず「Superfish」のアプリケーションを手動で削除、もしくは対応するセキュリティ対策製品で削除を行ってください。そして、次に必ず「Superfish」のルート証明書を無効にし、削除してください。Lenovo社では公式アナウンスを行っておりますのでご参照ください。また、一般的な Windows上でのルート証明書の一覧や証明書を削除する手順はこちらをご参照下さい。
■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「ファイルレピュテーション」技術により、問題のアドウェアを検出します。
【更新情報】
| 2015/02/23 | 16:30 | 本件に関連する問題を完全に取り除くためには、「Superfish」のアプリケーションを削除したのち、Windows やご利用のブラウザにインストールされた「Superfish」のルート証明書を削除する必要があります。
このアプリケーションがインストールされている状態で Firefox をインストールした場合、Firefox の「信頼する認証局証明書」の一覧にも「Superfish」のルート証明書が追加されることが分かっているため、Firefox からも削除を行う必要があります。 Lenovo公式ページにて、アプリケーションの削除・Windows と Firefox の証明書ストアからのルート証明書の削除について、自動削除ツールと手動での削除手順が案内されていますので、ご参照ください。
|
| 2015/02/26 | 12:00 | 文章の一部を修正しました |
参考記事:
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)
記事構成:岡本 勝之(セキュリティエバンジェリスト)