Superfishの脆弱性

IT

LenovoのノートPCに不正なアドウェアというニュース。

Superfishの脆弱性

Lenovo Support (JP)より

2014年9月から12月にかけて出荷された一般消費者向けLenovo製PCにプリインストールされていたアドウェア「VisualDiscovery(通称:Superfish)」にSSL通信を傍受する仕組みがあり、電子証明書を利用したWebサイトにログインできない事があるそうだ。

Lenovoの発表によると対象となるモデルは

Superfish may have appeared on these models: G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45, G40-80 U Series: U330P, U430P, U330Touch, U430Touch, U530Touch Y Series: Y430P, Y40-70, Y50-70, Y40-80, Y70-70 Z Series: Z40-75, Z50-75, Z40-70, Z50-70, Z70-80 S Series: S310, S410, S40-70, S415, S415Touch, S435, S20-30, S20-30Touch Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 Pro, Flex 10 MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11, MIIX 3 1030 YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11, YOGA3 Pro E Series: E10-30

という事で、ThinkPad、ThinkCentre、Lenovo Desktop、ThinkStation、ThinkServer および System x 製品には影響無い。

元々はGoogleの検索結果等に別の広告を挿入するアドウェアという事だったのだが、Errata Security: Extracting the SuperFish certificateによると、「ローカルの信頼されたCAストアに自己署名証明書をインストールする」為の秘密鍵をプログラム内に保持している事がわかり、しかもたった10秒で"komodia"というパスフレーズが解読されてしまい、悪用し放題の大穴である事がわかったそうだ。

それって問題の本質は本当に「Superfish」なのかな…?と思ってたのだが、悪い予感は的中。

ITmedia エンタープライズの記事にある

この原因は、Superfishなど複数のアプリケーションに使われている「Komodia Redirector SDK」にあるという。同SDKを使ったアプリケーションでは、Webブラウザの証明書ストアにルートCA証明書がインストールされ、警告を表示させることなくすべてのWebトラフィックを傍受することが可能になる。  影響を受けるベンダーには、LenovoやSuperfishのほか、Atom Security、KeepMyFamilySecure、Lavasoftなどを挙げている。

というのはUS-CERTVU#529496 - Komodia Redirector with SSL Digestor fails to properly validate SSL and installs non-unique root CA certificates and private keysに基づく情報のようだ。

というわけで、取り敢えず皆さんWindows Defenderをアップデートして、速攻スキャンしましょう。

参照

ギズモード・ジャパン http://www.gizmodo.jp/

GIGAZINE http://gigazine.net/

ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/

PC Watch http://pc.watch.impress.co.jp/

サポート http://support.lenovo.com/jp/ja

Vulnerability Notes http://www.kb.cert.org/vuls/

Wikipedia http://ja.wikipedia.org/wiki/