̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ IT ニュース&コラム 2015/ 3/ 9 通巻682号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ Lenovo 製 PC に付属の Superfish に Web サイトを偽装する脆弱性 2015年 2月 25日、米電子フロンティア財団(EFF)は、Lenovo 製のノートPC の 一部にプリインストールされている Superfish に深刻な脆弱性が存在している ことが分かったと発表した。 なお、ThinkPad やデスクトップにはプリインス トールされていない。 この脆弱性を悪用すると、偽者の Web サイトであっても本物の Web サイトで あるように表示されてしまう。 これがどれだけ危険かというと、たとえば、 銀行の Web サイトが本物であるかどうかが、ブラウザーのアドレス バーが 緑色になっているかどうか(EV証明書)で判断できるのだが、実はパスワード を入手するために犯罪者が用意した偽サーバーである可能性が出てくる。 つまり、入手したパスワードを使って、銀行口座から現金が盗まれる可能性が 出てくる。 Windows Update などプログラムをアップデートするサーバーを 偽装すれば、アップデートするタイミングでウィルスに感染させることも おそらく可能だろう。 ブラウザーがアドレス バーを緑色にする条件は、その Web サイトのサーバーが 認証されたサーバーであることだ。 単にアドレス(URL)が正しいことや、 「SSL 証明書」を持つサーバーと暗号化通信されていること(SSL/TLS の 鍵アイコンが表示される)だけではなく、特定の認証局(CA)しか発行できない 「EV SSL 証明書」を持っているサーバーであることだ。 認証されたサーバーは、 ワンタイム パスワードのようなをブラウザーに渡し、そのデータが EV SSL 証明書を持ったサーバーしか発行できないものかどうかをブラウザー から認証局に確認してから、緑色にする。 同じアドレスで認証されていない サーバーだったときは、赤色のバッテンにする。 ブラウザーは、信頼できる認証局(CA)のルート証明書の一覧を、ブラウザーの 開発者しか変更できない形で内部に持っている。 その特定の認証局とは、 EV SSL 証明書が適切に発行するようセーフルームなどの中で運用されている とブラウザーの開発者が信頼したシマンテック社などのサーバーだ。 認証局は、証明書を発行する際に、住所が実在するか、本当に実態ある企業か、 申請者は証明書を購入する権限を持った役職に就いているかなどをチェック する。 Superfish は、MITM 攻撃(Man-in-the-Middle 攻撃、中間者攻撃)ができる ものだった。 MITM攻撃とは、ブラウザーと通信デバイスの間に悪意のある プログラムをインストールし、ルート証明書の一覧に悪意のある CA(信頼 できる名前に偽装した認証局)を追加して横取りすることで、偽の Web サーバーに対して、信頼できる CA から発行された EV SSL 証明書を持つ、 信頼できるサーバーであると偽装することだ。 更に、すべての Superfish に共通の「偽のCAの秘密鍵」を秘密にしていな かったため、Superfish の開発者以外でも悪用できる状態にあった。 実は、MITM攻撃は、Komodia Redirector SDK という開発者向けのソフトウェア を不適切に使うことと同じである。 プライバシー保護のソフトウェア PrivDog にも同じ脆弱性があった。 もしかすると、Superfish の開発者自身は悪意は なかったのかも知れない。 フリーソフトの一部には、秘密鍵を直接入力する ものがあるが、(重要ではない秘密鍵を入力しなければ)重要な秘密鍵の 情報漏えいにつながる可能性が出る。 無知は罪になるのだ。 米電子フロンティア財団(EFF)は、「コンピュータにプリインストール されてくるソフトウェアは信用できない」と断言した。 メーカーは、 認証局が証明書を発行する際に行うような厳密な審査を開発者に行うことが 求められ、開発者は通信をするソフトウェアの暗号技術についての理解が 求められる。 ソース http://www.itmedia.co.jp/enterprise/articles/1502/27/news077.html http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml http://d.hatena.ne.jp/nekoruri/20150220/superfish http://d.hatena.ne.jp/Kango/20150220/1424364815 http://ja.wikipedia.org/wiki/Extended_Validation_証明書 http://ascii.jp/elem/000/000/874/874113/ 注目ニュース 一覧 ◇ Apple Watchって何ができるんだっけ? イベント前に総まとめ。 http://www.gizmodo.jp/2015/03/apple_watch_44.html … もうすぐ(日本時間3月10日午前2時)イベントで発表か。 ◇ Apple Watchは車のキーにもなる、とティム・クックCEO。 http://www.itmedia.co.jp/news/articles/1502/28/news014.html … スマホに取り込むのは、おさいふケータイだけじゃない。 ◇ HTC、HMDの Vive とフィットネスバンド Grip を発表。 http://www.itmedia.co.jp/news/articles/1503/02/news050.html … 性能は低いため、価格に期待。 ◇ これがうわさの ホログラム3D だ。VRディスプレイ HP Zvr。 http://www.itmedia.co.jp/pcuser/articles/1503/05/news052.html … ヘッドマウントディスプレイではないタイプのホログラム3Dディスプレイ。 ◇ Epic Games、Unreal Engine 4の無料化を発表。 http://game.watch.impress.co.jp/docs/news/20150303_690839.html … 出世払いビジネス モデル。 ◇ 世界スマホ市場で Android の利益シェアが11.3%に激減。 http://japan.cnet.com/marketers/news/35061035/ … iPhone 6 が売れすぎた。 ◇ IKEA、NexusシリーズなどQi対応端末を無線充電できるテーブルやランプを発表。 http://www.itmedia.co.jp/news/articles/1503/02/news057.html … サイド テーブルの上に置くだけで充電。ただし、+マークがダサい。 ◇ 米輸出規制に起因するTLSSSLの脆弱性 FREAK が発覚。 http://www.itmedia.co.jp/enterprise/articles/1503/04/news054.html … 以前アメリカが弱い暗号しか許可してなかったことの対策が、今度は問題の原因に。 ◇ 活字離れ論に最終決着?電子書籍を含めれば不読率は激減している。 http://japan.cnet.com/sp/t_hayashi/35061283/ … ニュース アプリや週刊誌は読書に入らないかどうか。 ソフトウェアデザイン館 Sage Plaisir 21 ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm