- 会員限定
- 2015/03/03 掲載
レノボPCにインストールされたアドウェア「Superfish」問題の本質とは何か?
記事をお気に入りリストに登録することができます。
2015年2月、国内外のメディアやSNSで「レノボのPCに悪質なアドウェアがプリインストールされている」というニュースが流れた。問題のアドウェアは開発ベンダーの名前からSuperfishと呼ばれている。レノボもアドバイザリー情報を出すなど対応しているが、報道やベンダー発表などがリアルタイムで動いていたため、問題の本質を十分にとらえていない報道や情報の錯綜が見られる。問題の概要と対処方法をあらためて整理してみよう。
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。
問題の「Superfish」とは?
そのニュースとは、レノボのノートPCにセキュリティ上問題のあるアドウェア「Superfish Visual Discovery(以下、Superfish)」がプリインストールされていたというものだ。
一連の書き込みや報道の中には、メジャーなPCベンダーがアドウェアをプリインストールして製品を販売したという点ばかりを強調しているが、肝心なのはSuperfishへの対策情報だ。
Superfishは、問題の核心部分の処理(ブラウザのWebアクセスのうちトラフィックを中継する)を「Komodia Redirector」「SSL Digestor」というライブラリによって実装している。この2つはKomodiaというイスラエルの別のソフトウェアベンダーの製品だ。市販、あるいはオープンなライブラリはさまざまな製品に利用されている可能性がある。モジュールの正式名称など細かいことのようだが、重要な情報だ。問題機能の実装構造を理解して正しい対処をするためには正式名称を知っておくのは大前提だ。問題機能がライブラリまで遡れるということは、レノボ以外のPCにも同じ危険が潜んでいることを意味するので、理解しておくべきだ。
問題は「アドウェアとしての働き」と「SSL通信における脆弱性」
関連記事
ここで整理しておきたいのは、Superfish問題の本質はどこにあるか、という点だ。前述のように一部の報道では、レノボがアドウェアをプリインストールして製品を販売したという点にスポットを当てているが、問題はこの点だけではない。
Superfishは、ブラウザに表示される広告を、ユーザーごとのターゲティング広告に差し替えている。このとき、ユーザーの情報を取得したり外部サーバーに送ったりするアドウェアとしての働きだけでなく、SSL通信も解読して広告を差し替えているのだ。
この「アドウェアとしての働き」と「SSL通信における脆弱性」という2点に問題の本質がある、と筆者は考えている。
1点目のアドウェアとしての働きに、どのような問題があるのか。まず、PCメーカーやソフトウェアベンダーがユーザーごとのターゲティングを行う場合には、何らかの形でユーザーとの合意形成し、ターゲティングによるレコメンド広告であることを明確に示す必要がある。今回のSuperfishの広告差し替えのフローは、意図的かそうでないかを問わずSSL通信も中継している点の説明が不十分であり、問題だったといえる。
この問題に対しては、アドウェアを開発したベンダーが不備を謝罪し、当該アプリ等を削除し、対策を講じるべきだろう。
【次ページ】ユーザーの対策は、Superfishとルート証明書を削除すること
関連タグ
あなたの投稿
PR
PR
PR
