中国の PC メーカー Lenovo は、ユーザーのブラウザ セッションをハイジャックしてカスタマイズされた広告を挿入し、暗号化接続のセキュリティを大幅に低下させるソフトウェアがプレインストールされたノート型コンピュータを多数販売したことが発覚し、広報面で大惨事の真っただ中に陥っている。

Superfish という名前のビジュアル検索会社が提供するこのアドウェアは、Lenovo マシン上のブラウザを介して流れるリクエストの透過的なプロキシとして機能するコンテキスト検索プラットフォームです。 Web サイトのコンテンツを分析し、関連性があると判断した広告を挿入します。

HTTPS リクエストにアクセスするために、Superfish には自己署名ルート証明書もロードされています。 HTTPS 経由で読み込まれるページは、サイト所有者の実際の証明書ではなく、この証明書で署名されているため、Superfish はコンテンツを復号化できます。

これにより、セキュリティに重大な問題が発生します。証明書の暗号化パスワードを持っている人なら誰でも - これは簡単でした見つかったErrata Security の Robert Graham 氏によると、秘密キーを抽出して中間者攻撃を実行し、証明書がインストールされているコンピュータの通信を傍受したり、正規に見える偽のフィッシング Web サイトを作成したりできます。

レノボは声明で、認められた同社は「9月から12月までの短期間に出荷された一部の消費者向けノートブック製品」にSuperfishをインストールしたと発表した。同社は、広告インジェクション技術を支えるバックエンドサービスを無効にし、将来の製品にはSuperfishを含めないと約束した。

残念ながら、そもそも自己署名ルート証明書のインストールを許可することで生じるセキュリティ上の懸念を軽減することはできません。明らかな影響にもかかわらず、レノボは懸念していないようだ。

同社は同じ声明で「われわれはこの技術を徹底的に調査したが、セキュリティ上の懸念を裏付ける証拠は見つからなかった」と述べた。