JVNTA#91476059
Superfish がインストールされた Lenovo 製 PC に HTTPS スプーフィングの脆弱性
Superfish VisualDiscovery がインストールされた Lenovo 製 PC には、HTTPS スプーフィングの脆弱性が存在します。
- Superfish VisualDiscovery がインストールされた Lenovo 製 PC
Superfish がインストールされているか確認するには、
superfish.aistcdn.com
への HTTP GET リクエストを確認してください。このリクエストは次のような内容です。
http://superfish.aistcdn.com/set.php?ID=[GUID]&Action=[ACTION]
[ACTION]
の部分には、1、2、3 などの数字がはいります。PC が起動する際には最初に 1 がはいった形のリクエスト、その後に 2 がはいった形のリクエストが送られます。また、PC の電源が落ちるときには 3 がはいった形のリクエストが送られます。
2014年9月から、Lenovo は自社製 PC のいくつかに Superfish VisualDiscovery をプリインストールしていました。また、2010年頃に Superfish が他のアプリケーションにバンドルされていたという報告もあります。
Superfish はユーザにあわせた広告を表示するためにユーザのネットワークトラフィックを仲介します。暗号化された HTTPS 通信内容を仲介するために、Superfish は自身が使うサーバ証明書のためのルート CA 証明書を PC にインストールします。これにより、ウェブブラウザは Superfish による仲介が行われても警告を表示しません。
CA 証明書の秘密鍵は Superfish から容易に取得でき、この秘密鍵で署名されたサーバ証明書を使ってオンラインバンキングや電子メールサービスなどのサイトを詐称されても、ウェブブラウザによるアクセス時には何の警告も表示されません。
Lenovo は Superfish VisualDiscovery のプリインストールをやめたとのステートメントを発表しています。しかし、既に当該製品がインストールされている PC は、対策を行わないかぎり影響を受けるままであることに注意してください。
2015年2月23日現在、問題となる Komodia 製 SSL 復号ライブラリが KeepMyFamilySecure という製品にも含まれていることが判明しています。詳しくは、CERT/CC Vulnerability Note VU#529496 をご確認ください。
HTTPS の通信内容を傍受されたり、フィッシング詐欺の被害を受ける可能性があります。
Superfish VisualDiscovery をアンインストールし、関連するルート CA 証明書を削除する
Komodia Redirector および SSL Digestor ライブラリを含むソフトウェアを削除してください。Lenovo 製 PC の場合、Superfish VisualDiscovery が該当します。
さらに、問題となるルート CA 証明書を削除する必要があります。単にソフトウェアをアンインストールするだけでは、証明書は削除されません。Superfish VisualDiscovery の場合、問題となる証明書は "Superfish, Inc.
"
によって発行されています。
Lenovo は、Windows 8 ユーザ向けに、Lenovo 製品にプリインストールされている Superfish および関連する証明書を削除する手順を説明するドキュメント Removal Instructions for VisualDiscovery Superfish application を提供しています。
Microsoft からは、Windows 証明書ストアにインストールされている証明書の削除や管理に関する情報が公開されています。同様に、Mozilla からは Firefox や Thunderbird が参照する証明書の管理に関するドキュメント CA:UserCertDB が公開されています。
-
Japan Vulnerability Notes JVNVU#92865923
Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
US-CERT Alert (TA15-051A) Lenovo Superfish Adware Vulnerable to HTTPS Spoofing |
CPNI Advisory |
|
TRnotes |
|
CVE |
|
JVN iPedia |
|