Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェア
「SuperFish」に深刻な脆弱性が発覚した問題で、米電子フロンティア財団(EFF)は2月25日
この脆弱性は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの
大手サイトが狙われている痕跡があることが分かったと伝えた。
Superfishの脆弱性では、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり
Webサイトを偽装されたりする恐れが指摘されていた。
この問題はイスラエル企業のKomodiaが提供する「Komodia Redirector SDK」に起因する。
同SDKは他にも多数のソフトウェアに使われていることが分かっている。
同SDKを使ったアプリケーションでは、Webブラウザの証明書ストアにルートCA証明書がインストールされ
警告を表示させることなく全てのWebトラフィックを傍受することが可能になる。
EFFによれば、新たに発覚した問題は、証明書のSubject Alternative Name(サブジェクトの別名)という項目に関連している。
この項目は、例えば「eff.org」と「www.eff.org」など、異なる複数のドメインを同じ証明書で別名としてカバーするために使われる。
Komodiaの脆弱性を悪用する攻撃者がこの仕組みを利用すれば、標的とするドメインを別名として追加した不正な証明書を作成して
Komodiaがインストールされているシステムに受け入れさせることが可能になる。
Webブラウザでは有効な証明書として認識され、警告は表示されない。
EFFが調べた結果、本来はKomodiaで拒絶すべきなのに受け入れてしまった証明書の事例が1600件以上見つかったという。
影響を受けるドメインには、Google(mail.google.com、accounts.google.comなど)、Yahoo!(login.yahoo.comなど)
MicrosoftのBingやWindows Live Mail、Amazon、eBay、Twitterといった大手のドメインや
銀行や保険会社のWebサイトのドメインが含まれていた。
FTTは、「Komodiaのソフトウェアのために中間者攻撃が可能になり、攻撃者がユーザーのメールや検索履歴
ソーシャルメディアや銀行のアカウントなどにアクセスできてしまう恐れがある。
ユーザーのブラウザに侵入したり暗号鍵を読んだりする不正ソフトをインストールされる可能性さえある」と解説する。
しかも問題があるのはKomodiaだけでなく、プライバシー保護をうたうソフトウェア
「PrivDog」にも同じ脆弱性があることが分かり、攻撃に使われた可能性のある証明書が見つかっているという。
今回の教訓としてEFFは、「コンピュータにプリインストールされてくるソフトウェアは信用できない」と断言。
ソフトウェアメーカーに対しては、「顧客の暗号化されたHTTPSトラフィックを傍受しようとすれば
顧客のセキュリティを危険にさらすことになる」という認識が必要だと指摘している。
以下ソース
http://www.itmedia.co.jp/news/articles/1502/27/news077.html
このIDをNGリストに追加する
今後このIDの書き込みやスレッドを表示したくない場合、以下のボタンをクリックしてください。
NGリストに追加