Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェア
「SuperFish」に深刻な脆弱性が発覚した問題で、米電子フロンティア財団(EFF)は2月25日
この脆弱性は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの
大手サイトが狙われている痕跡があることが分かったと伝えた。
Superfishの脆弱性では、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり
Webサイトを偽装されたりする恐れが指摘されていた。
この問題はイスラエル企業のKomodiaが提供する「Komodia Redirector SDK」に起因する。
同SDKは他にも多数のソフトウェアに使われていることが分かっている。
同SDKを使ったアプリケーションでは、Webブラウザの証明書ストアにルートCA証明書がインストールされ
警告を表示させることなく全てのWebトラフィックを傍受することが可能になる。
EFFによれば、新たに発覚した問題は、証明書のSubject Alternative Name(サブジェクトの別名)という項目に関連している。
この項目は、例えば「eff.org」と「www.eff.org」など、異なる複数のドメインを同じ証明書で別名としてカバーするために使われる。
Komodiaの脆弱性を悪用する攻撃者がこの仕組みを利用すれば、標的とするドメインを別名として追加した不正な証明書を作成して
Komodiaがインストールされているシステムに受け入れさせることが可能になる。
Webブラウザでは有効な証明書として認識され、警告は表示されない。