« トランジスタ技術3月号の特集は「本格エレキアプリ全集」:電子工作関係のソフトがこんなにたくさんあったなんてびっくり | トップページ | 便利なIoTより安全なIoT:日経ITproの記事より »

2015年2月26日 (木)

レノボ社がノートPCにプリインストールしていた広告表示ソフト「Superfish」 は単なるアドウェアではないらしい-SSL通信を第三者に盗聴される恐れ

 レノボ社が広告表示ソフトをノートPCにプリインストールしていた、というニュースを最初に読んだときは、またまぬけなことを、と思っただけであった。ところが、ニュース - SSL通信を盗聴される恐れ、ノートPCに潜む「Superfish」の正体:ITproという続報を見ると、とんでもなく危険なソフトであることがわかった。
 長くなるが記事を引用する。


 Superfishは、正規のSSLサイトから送られてきたSSL証明書を横取りし、Superfishが発行したSSL証明書に改ざんする。これにより、Webブラウザーからは正規のSSLサイトと暗号化通信をしているように見えるが、実際にはPC内のSuperfishと暗号化通信することになる。
    <中略>
 ところがSuperfishがプリインストールされたPCでは、Superfishのルート証明書が信頼できるCA(認証局)として登録されているので、Superfishによって署名された偽のSSL証明書を、信頼できる証明書として受け入れる恐れがある。つまり、ユーザーに気付かれずにSSLで送られてきたコンテンツを改変できる。
 しかも、SuperfishがSSL証明書の作成(改ざん)に使う秘密鍵は、Superfishに含まれており、比較的容易に取り出せるという。この秘密鍵を使えば,SuperfishがインストールされていたPCのSSL通信を、第三者が盗聴することが可能になる。要は、SuperfishがPCの内部で行っていたことを、PCの外部でできるようになる。

 とんでもない話だ。しかも、ニュース - 「Superfish」だけではない、SSL盗聴を招く危険なソフトが相次ぐ:ITproこのSSL証明書を横取りする技術は、他のソフトでも使われているらしい。証明書に基づく認証システムをこういう形ですりぬけるというのは、下手をするとネットの基盤をゆるがしかねない話である。

« トランジスタ技術3月号の特集は「本格エレキアプリ全集」:電子工作関係のソフトがこんなにたくさんあったなんてびっくり | トップページ | 便利なIoTより安全なIoT:日経ITproの記事より »

ニュース」カテゴリの記事

パソコン・インターネット」カテゴリの記事

技術」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/568535/61199824

この記事へのトラックバック一覧です: レノボ社がノートPCにプリインストールしていた広告表示ソフト「Superfish」 は単なるアドウェアではないらしい-SSL通信を第三者に盗聴される恐れ:

« トランジスタ技術3月号の特集は「本格エレキアプリ全集」:電子工作関係のソフトがこんなにたくさんあったなんてびっくり | トップページ | 便利なIoTより安全なIoT:日経ITproの記事より »

2017年6月
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  

公告

  • Google Adsense
無料ブログはココログ