piyolog Mk-II 第7回「アドウェア放置していませんか? Superfish問題から見えてきた問題点」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.04.22(月)

piyolog Mk-II 第7回「アドウェア放置していませんか? Superfish問題から見えてきた問題点」

差し込まれる広告も中間者攻撃と同様の原理でユーザーと接続先の間に介入する方法で行われており、自己署名証明書を用いてHTTPSで行われる通信も広告表示の対象に含まれました。

特集 特集
混合しがちなSuperfishの問題を整理
混合しがちなSuperfishの問題を整理 全 1 枚 拡大写真
Lenovo社の製造するPCにアドウェア「Superfish Visual Discovery(以下Superfishと記載)」 が出荷時からインストール(プリインストール)されており、さらにそのアドウェアに深刻な問題があることが明らかになりました。LenovoはPCの世界シェア一位であり、Lenovoの製品を使用しているユーザーは多く、この騒動は国内でも注目を受けました。

今回はこのSuperfish問題を整理しつつ、アドウェアは放置しても良い存在なのかについても考えます。

● Superfish炎上後のLenovoの対応
Superfishプリインストールの指摘は昨年9月にLenovoのユーザーサポートフォーラムへの書き込みが行われたことに始まります。Lenovo側も問題と認識したためか大々的に発表こそしなかったものの、今年1月時点でSuperfishのプリインストール中止やサーバー側の作用を通じた機能停止を行ったことをその後明らかにしています。

しかし、2月19日にこのSuperfishがプロキシとして動作していること、さらに自己署名証明書を用いてHTTPS通信も傍受していることが判明し、Twitterやマスメディアを通じて拡散されたことで炎上状態になりました。炎上後のLenovo側の対応としては、翌日20日と比較的早い段階で問題を公式に認めた他、その後も情報をアップデートし、対象製品の情報公開や自社製Superfish削除ツールの提供、MicrosoftやMcAfeeと協力し問題解決にあたることを発表しています。また今回の影響範囲ですが、報道によれば全世界で約1000万台、日本国内では約5万台がこの影響を受けたのではないかといわれています。

● 混合しがちなSuperfishの問題を整理
Superfishをめぐる問題は出荷時にインストール(プリインストール)されていたことがよく取り上げられてしまったためか、Superfishに関連する他の問題も一括りにされてしまうことがあるようです。そこで、どのような点が問題であったのかについてまずは整理してみます…

※本記事は本日配信のScan有料版に全文を掲載しました

《piyokango》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 新時代の産業に向けたセキュリティ対策フレームワークを策定(経済産業省)

    新時代の産業に向けたセキュリティ対策フレームワークを策定(経済産業省)

  2. ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

    ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

  3. OracleがJavaをアップデート、商用ユーザ向けJava SE 8は提供終了(IPA、JPCERT/CC)

    OracleがJavaをアップデート、商用ユーザ向けJava SE 8は提供終了(IPA、JPCERT/CC)

  4. Broadcom製Wi-Fiチップセット用ドライバに複数の脆弱性(JVN)

    Broadcom製Wi-Fiチップセット用ドライバに複数の脆弱性(JVN)

  5. さいたま市立学校の「携帯・インターネット安全教室」に講師を派遣(トレンドマイクロ)

    さいたま市立学校の「携帯・インターネット安全教室」に講師を派遣(トレンドマイクロ)

  6. 伝説的ハッカーグループ出身者が大統領候補に(The Register)

    伝説的ハッカーグループ出身者が大統領候補に(The Register)

  7. 疑問その7「CASBベンダ統廃合の過去、そして未来」~日商エレに聞く、CASBとクラウドセキュリティの疑問

    疑問その7「CASBベンダ統廃合の過去、そして未来」~日商エレに聞く、CASBとクラウドセキュリティの疑問PR

  8. 10連休控え例年より早く発表、今年の長期休暇におけるセキュリティ注意喚起(IPA)

    10連休控え例年より早く発表、今年の長期休暇におけるセキュリティ注意喚起(IPA)

  9. 不正アクセスで手帳アプリ「Lifebear」のアカウント情報が流出の可能性(ライフベア)

    不正アクセスで手帳アプリ「Lifebear」のアカウント情報が流出の可能性(ライフベア)

  10. 人事異動案に関するデータを無断で持ち出しLINEで拡散、関係した職員を懲戒処分に(吉川松伏消防組合)

    人事異動案に関するデータを無断で持ち出しLINEで拡散、関係した職員を懲戒処分に(吉川松伏消防組合)

ランキングをもっと見る