セキュリティ組織のJPCERTコーディネーションセンターと情報処理推進機構(IPA)が運営するJVN(Japan Vulnerability Notes)は2015年2月24日、「Superfish」と同様の問題があるソフトウエアが他にも存在するとして注意を呼びかけた(画面)。米CERT/CCなども同様の注意喚起を公表している。
Superfishは、Webの検索結果に独自の広告を挿入するソフトウエア(アドウエア)。正式な名称は「Superfish Visual Discovery」。SSLを利用しているWebサイト(SSLサイト)のページにも広告を挿入できるように、SSLによる通信を“乗っ取る”機能を備えている(関連記事:SSL通信を盗聴される恐れ、ノートPCに潜む「Superfish」の正体)。
Superfishは、SSLサイトから送られてきた証明書を改ざんし、SSL通信を中継できるようにする。ユーザーに気付かれないように改ざんするために、Superfishのルート証明書を信頼できるCA(認証局)としてインストールする。
ルート証明書の秘密鍵もそのPCにインストールされる。この秘密鍵が比較的容易に取り出せるために、SuperfishがインストールされていたPCのSSL通信を、第三者が盗聴可能になる。Superfishは中国レノボのノートPCの一部にプリインストールされていたため、問題が大きくなった。
レノボは2月21日、Superfish本体と証明書を削除するためのツールを公開している(関連記事:レノボが「Superfish」セキュリティ問題の自動削除ツールを公開)。
JVNなどによると、今回の問題の原因はSuperfishそのものではなく、Superfishで使用されている「Komodia Redirector SDK」にあるという。Komodia Redirector SDKは、ソフトウエアにプロキシー機能などを追加するツール。
同ツールで「SSL Digestorモジュール」を追加すると、SSL通信を中継することなども可能になる。この際、SSL Digestorモジュールがユーザーに警告を出すことなく機能するように、今回問題となったルート証明書と秘密鍵も同時にインストールされる。
つまり、Komodia Redirector SDKでSSL Digestorモジュールをインストールされたソフトウエアには、Superfishと同様の問題がある。このためJVNでは、SSL DigestorモジュールがインストールされたソフトウエアやKomodia Redirector SDK、関連するルート証明書をアンインストールするよう勧めている。
