- 会員限定
- 2015/03/03 掲載
レノボPCにインストールされたアドウェア「Superfish」問題の本質とは何か?
問題の「Superfish」とは?
そのニュースとは、レノボのノートPCにセキュリティ上問題のあるアドウェア「Superfish Visual Discovery(以下、Superfish)」がプリインストールされていたというものだ。
一連の書き込みや報道の中には、メジャーなPCベンダーがアドウェアをプリインストールして製品を販売したという点ばかりを強調しているが、肝心なのはSuperfishへの対策情報だ。
Superfishは、問題の核心部分の処理(ブラウザのWebアクセスのうちトラフィックを中継する)を「Komodia Redirector」「SSL Digestor」というライブラリによって実装している。この2つはKomodiaというイスラエルの別のソフトウェアベンダーの製品だ。市販、あるいはオープンなライブラリはさまざまな製品に利用されている可能性がある。モジュールの正式名称など細かいことのようだが、重要な情報だ。問題機能の実装構造を理解して正しい対処をするためには正式名称を知っておくのは大前提だ。問題機能がライブラリまで遡れるということは、レノボ以外のPCにも同じ危険が潜んでいることを意味するので、理解しておくべきだ。
問題は「アドウェアとしての働き」と「SSL通信における脆弱性」
Superfishは、ブラウザに表示される広告を、ユーザーごとのターゲティング広告に差し替えている。このとき、ユーザーの情報を取得したり外部サーバーに送ったりするアドウェアとしての働きだけでなく、SSL通信も解読して広告を差し替えているのだ。
この「アドウェアとしての働き」と「SSL通信における脆弱性」という2点に問題の本質がある、と筆者は考えている。
1点目のアドウェアとしての働きに、どのような問題があるのか。まず、PCメーカーやソフトウェアベンダーがユーザーごとのターゲティングを行う場合には、何らかの形でユーザーとの合意形成し、ターゲティングによるレコメンド広告であることを明確に示す必要がある。今回のSuperfishの広告差し替えのフローは、意図的かそうでないかを問わずSSL通信も中継している点の説明が不十分であり、問題だったといえる。
この問題に対しては、アドウェアを開発したベンダーが不備を謝罪し、当該アプリ等を削除し、対策を講じるべきだろう。
【次ページ】ユーザーの対策は、Superfishとルート証明書を削除すること
関連コンテンツ
PR
PR
PR