JVNTA#91476059
Superfish がインストールされた Lenovo 製 PC に HTTPS スプーフィングの脆弱性

Superfish VisualDiscovery がインストールされた Lenovo 製 PC には、HTTPS スプーフィングの脆弱性が存在します。

• Superfish VisualDiscovery がインストールされた Lenovo 製 PC

http://superfish.aistcdn.com/set.php?ID=[GUID]&Action=[ACTION]

2014年9月から、Lenovo は自社製 PC のいくつかに Superfish VisualDiscovery をプリインストールしていました。また、2010年頃に Superfish が他のアプリケーションにバンドルされていたという報告もあります。

Superfish はユーザにあわせた広告を表示するためにユーザのネットワークトラフィックを仲介します。暗号化された HTTPS 通信内容を仲介するために、Superfish は自身が使うサーバ証明書のためのルート CA 証明書を PC にインストールします。これにより、ウェブブラウザは Superfish による仲介が行われても警告を表示しません。

CA 証明書の秘密鍵は Superfish から容易に取得でき、この秘密鍵で署名されたサーバ証明書を使ってオンラインバンキングや電子メールサービスなどのサイトを詐称されても、ウェブブラウザによるアクセス時には何の警告も表示されません。

Lenovo は Superfish VisualDiscovery のプリインストールをやめたとのステートメントを発表しています。しかし、既に当該製品がインストールされている PC は、対策を行わないかぎり影響を受けるままであることに注意してください。

2015年2月23日現在、問題となる Komodia 製 SSL 復号ライブラリが KeepMyFamilySecure という製品にも含まれていることが判明しています。詳しくは、CERT/CC Vulnerability Note VU#529496 をご確認ください。

HTTPS の通信内容を傍受されたり、フィッシング詐欺の被害を受ける可能性があります。

Superfish VisualDiscovery をアンインストールし、関連するルート CA 証明書を削除する
Komodia Redirector および SSL Digestor ライブラリを含むソフトウェアを削除してください。Lenovo 製 PC の場合、Superfish VisualDiscovery が該当します。
さらに、問題となるルート CA 証明書を削除する必要があります。単にソフトウェアをアンインストールするだけでは、証明書は削除されません。Superfish VisualDiscovery の場合、問題となる証明書は "Superfish, Inc." によって発行されています。

Lenovo は、Windows 8 ユーザ向けに、Lenovo 製品にプリインストールされている Superfish および関連する証明書を削除する手順を説明するドキュメント Removal Instructions for VisualDiscovery Superfish application を提供しています。

Microsoft からは、Windows 証明書ストアにインストールされている証明書の削除や管理に関する情報が公開されています。同様に、Mozilla からは Firefox や Thunderbird が参照する証明書の管理に関するドキュメント CA:UserCertDB が公開されています。