世界のセキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップして紹介する。まず最初の話題は、国内でもメディアに盛んに取り上げられた「Superfish」。中国レノボがWindows 8/8.1搭載ノートパソコンの一部にプリインストールしていたソフトウエア「Superfish VisualDiscovery」についてだ。
同ソフトには、SSL通信を乗っ取るMan-in-the-Middle(中間者)攻撃を可能にする危険性があることが、広く報じられた。これに対して米マカフィーはブログで、Superfishがシステムにインストールするルート証明書のプロパティが、SSLに限らずあらゆる用途を許可していることに注意を促している。
マカフィーの脅威検出サービスが2月26日に確認したファイルは、米マイクロソフトの署名が付いた電子証明書を備えていたが、その証明書は、レノボ製パソコンにインストールされたSuperfishのルート証明書とのつながりが認められた。偽のマイクロソフト証明書は、Superfishのルート証明書が存在するマシンで有効性が確認される。
マイクロソフトの署名を装った証明書
Superfishのルート証明書は自己署名証明書の一種であり、秘密鍵はインストール済みのSuperfishファイルから簡単に回収できる。つまり第三者がこれを利用して、自己署名付きコンポーネントを作成し、Superfishのルート証明書で有効性の確認を得ることができる。
Superfishのルート証明書は、「目的」が「All(すべて)」に設定されている。これは、同証明書がファイル(コード署名)、SSL(サーバー認証)、電子メール(電子メールの保護)などすべてを署名検証できることを意味し、同ルート証明書があるシステム上のすべてに対する幅広い権限を持っていることになる。
Superfishのルート証明書のプロパティを確認
マカフィーは、Superfishアプリケーションとそれがインストールするルート証明書を検出、削除する措置をすでにとっていたが、Superfishのルート証明書が署名したマルウエアを「Trojan RDN/Downloader.a!ur」として検出し、データベースを更新した。
