• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

SSL通信を盗聴される恐れ、ノートPCに潜む「Superfish」の正体

勝村 幸博=日経コンピュータ 2015/02/20 日経コンピュータ

 セキュリティベンダーの米エラッタ・セキュリティは2015年2月19日、中国レノボのノートPCにプリインストールされていたソフトウエア「Superfish」の危険性を指摘した。SuperfishがインストールされていたPCでは、SSL通信を第三者に盗聴される恐れなどがあるという。

 レノボのユーザーフォーラムへの投稿によれば、SuperfishがインストールされたPCでは、Webの検索結果に独自の広告が挿入されるという(画面)。この情報は、2014年9月21日に投稿された。

画面●レノボのユーザーフォーラムに投稿された検索結果画面例(該当の投稿から引用)。「Visual Search results」以下が、Superfishにより挿入された広告
[画像のクリックで拡大表示]

 一見、Superfishはアドウエア(広告を勝手に表示するソフトウエア)の一種に思えるが、実際にはもっと深刻である。SSLを利用しているWebサイト(SSLサイト)のページにも広告を挿入できるように、SSLによる通信を“乗っ取る”機能を備えているからだ。

 Superfishは、正規のSSLサイトから送られてきたSSL証明書を横取りし、Superfishが発行したSSL証明書に改ざんする。これにより、Webブラウザーからは正規のSSLサイトと暗号化通信をしているように見えるが、実際にはPC内のSuperfishと暗号化通信することになる。

 Superfishはインターネット経由でSSLサイトと通信して正規のコンテンツを取得。広告などを挿入したうえで、Webブラウザーに送信する。つまり、Superfishはプロキシーとして動作する。

 通常は、ユーザーに気付かれずにこのようなことをするのは難しい。改ざんされたSSL証明書を受け取った時点で、Webブラウザーは「信頼できない証明書を受信した」として警告を表示し、通信を中止するからだ。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ 危ないのは「Superfishのルート証明書」
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【東京五輪のワクワクIT】

    五輪効果は32兆円、走り出すIT企業

     2020年の東京オリンピック(五輪)・パラリンピックの開催まであと3年だ。2017年3月6日には東京都が、招致決定の2013年からの10年間で東京五輪・パラリンピックの経済効果は32兆円になるとの試算を発表。こうした市場を狙い、IT企業も動き出している。

  • 【ニュース解説】

    システム開発の計上に新ルール、JISAが準備呼びかけ

     情報サービス産業協会(JISA)は2017年3月22日、「情報サービス産業におけるIFRS第15号会計処理事例集(以下、事例集)」を公開した。IFRS(国際会計基準)が定める売上高の計上基準「IFRS15号」にのっとって、受託開発やクラウドサービスの会計処理を実施するための参考資料となる文書だ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る