Lenovoは,同社のハードウェアにSuperfishソフトウェアが含まれていたことへの対応として,同ソフトウェアを除去するツールを提供する。セキュリティへの影響についての当初の否定は,後になって,そのような言及をすべて撤回するように訂正された。同ソフトウェアの除去,ルート証明書の削除,Lenovoラップトップユーザが使用した可能性のあるパスワードの変更が強く推奨される。
問題となっているのは,オペレーティングシステムの既知の認証ルートとして,偽の認証局(Certificate Authority)をインストールするソフトウェアであるSuperfishが,Lenovoのマシン(対象機種は公式発表に掲載)に含まれていたことだ。認証局(あるいは略してCA)は,ブラウザによって暗黙のうちに信頼される,自己署名認証である。SSLを介してリモートサイトを検証するときには,サーバの報告するSSL証明書から,ひとつ(あるいはそれ以上)の中間証明書,そして最後には既知の良好なルート証明書という,信頼の連鎖(chain of trust)が確立される。通常はVerisignやThwate,Semanticなどによる既知の証明書が,オペレーティングシステムやブラウザにデフォルトとしてインストールされている。
ルート証明書は任意のドメインの署名に使用できるため,既知のキーを使って偽のルート証明書を作れば,個々のサイトに対する下位の証明書の作成が可能になる。信頼されたルートによって署名されているので,有効な証明書と,自己署名した無効な証明書との違いは存在しない。
Superfishは,ブラウザが有効と判断する偽の証明書を発行することによって,リモート管理者による特定のWebサイトの偽装を可能にするソフトウェアだ。企業のファイアウォールからペアレンタルフィルタまで,さまざまなソフトウェアの一部として利用されている。リモートコンピュータを本物に見せかけるための偽装が行われ,ブラウザの通常のチェック機構では表示されるような警告やエラーは隠蔽される。企業環境でこのような結果を得るためには,一般的にプロキシが用いられるが,ペアレンタルフィルタでは,ローカルマシン上でプロキシを実行する場合と,低レベルのネットワークパケットをある種のフィルタリングないしインターセプト機構経由で転送する場合とがある。
このため,残念ながら,Superfishをインストールし実行しているシステムでは,HTTP経由のサイトへのアクセスが必ずしも安全ではないことになる。さらに悪いことに,通常ログインはHTTPS上で実行されるため,すべてのネットワーク通信が傍受および取得可能であることの結果として,2段階認証(two-factor authentication)を使用していないすべてのシステムのパスワードを変更する必要がある (安全性確保のため,Googleがいくつかアドバイスをしている)。
さらに問題なのは,Superfishによってインストールされた偽のルート証明書が, – komodiaという – ありふれたパスワードでクラックされたことだ。このため,ブラウザが警告を発しないような,実際に所有していないサイトを主張する証明書が,誰にでも簡単に作成できてしまうことになる。共用WiFiネットワークに接続するラップトップは,同じ接続を使って偽のアクセスポイントを用意に作成できるため,特に脆弱だ。
Superfishソフトウェアのアンインストールに加えて,使用するすべてのブラウザに感染したルート証明書がインストールされていないか,チェックする必要がある。https://filippo.io/Badfish/やhttps://www.canibesuperphished.comといったサイトが,接続の脆弱性をチェックする方法を提供している。証明に関する警告が表示されれば脆弱性はないが,そうでなければ,certmgr.mscをAdministratorとして実行し,除去ガイドに従ってSuperfish, Incによって署名されている証明書をすべて削除する必要がある。
そして最後に,Superfishを持っているか,あるいはそのルート証明書がインストールされたシステムでは,パスワードが侵害された可能性があるので,当然のことながら変更しなくてはならない。
Lenovoがなぜこのソフトウェアを追加したのかは不明だが,広告主が費用を支払って,製品にアドウェアをバンドルしたことは分かっている。このアドウェアは,デフォルトの検索ブラウザを変更したり, 既存のWebページの広告を違うものに置き換える (httpsページの広告用素材をhttpで取得することもあり,さらなる脆弱性を発生させる) など,さまざまなことを実行できるものだ。Simon Phipps氏は2013年1月のZDNetの記事で,OracleがJavaにAskツールバーをバンドルして出荷していることを指摘した。このツールバーは,ブラウザ上で同じようなことを行って,広告を書き換えたり,検索クエリを他に転送したりする。OracleはJavaを無償で提供する一方で,このような製品のスポンサを通じて収益を上げていたのだ。
世界的なメディア(BBC, WSJ, FT)がLenovoに注目する今,このようなプログラムをインストールすることで得られるメリットが,果たしてアドウェアに関与することに起因する負の評価を上回るものなのか,今一度考え直すべきだろう。
最新情報: イタリアのCloudFlare Security Teamのメンバである@FiloSottileによると,Microsoftのウィルス対策ソフトウェアWindows Defenderのバージョン 1.193.444.0に,Superfishソフトウェアとその証明書が追加されたということだ。このソフトウェアは証明書をシステムレジストリから除去するが,他のブラウザ(Firefoxなど)の証明書はインストールされたままの可能性がある。また,Superfish/komodiaをベースとする製品は,このアップデートによって無効になる。