問題の「Superfish」とは？

　一般に「アドウェア」はユーザーの画面に広告を表示させるかわりに無料で利用できるソフトウェアだが、中には広告付無料アプリを装い、無断の情報収集やマルウェアのインストールが目的のものも少なくない。このアドウェアに関するニュースが、2015年2月半ばを過ぎた頃からSNSやネットメディアで取り上げられている。

　そのニュースとは、レノボのノートPCにセキュリティ上問題のあるアドウェア「Superfish Visual Discovery（以下、Superfish）」がプリインストールされていたというものだ。

　一連の書き込みや報道の中には、メジャーなPCベンダーがアドウェアをプリインストールして製品を販売したという点ばかりを強調しているが、肝心なのはSuperfishへの対策情報だ。

　Superfishは、問題の核心部分の処理（ブラウザのWebアクセスのうちトラフィックを中継する）を「Komodia Redirector」「SSL Digestor」というライブラリによって実装している。この2つはKomodiaというイスラエルの別のソフトウェアベンダーの製品だ。市販、あるいはオープンなライブラリはさまざまな製品に利用されている可能性がある。モジュールの正式名称など細かいことのようだが、重要な情報だ。問題機能の実装構造を理解して正しい対処をするためには正式名称を知っておくのは大前提だ。問題機能がライブラリまで遡れるということは、レノボ以外のPCにも同じ危険が潜んでいることを意味するので、理解しておくべきだ。

問題は「アドウェアとしての働き」と「SSL通信における脆弱性」

　ここで整理しておきたいのは、Superfish問題の本質はどこにあるか、という点だ。前述のように一部の報道では、レノボがアドウェアをプリインストールして製品を販売したという点にスポットを当てているが、問題はこの点だけではない。

　Superfishは、ブラウザに表示される広告を、ユーザーごとのターゲティング広告に差し替えている。このとき、ユーザーの情報を取得したり外部サーバーに送ったりするアドウェアとしての働きだけでなく、SSL通信も解読して広告を差し替えているのだ。

　この「アドウェアとしての働き」と「SSL通信における脆弱性」という2点に問題の本質がある、と筆者は考えている。

　1点目のアドウェアとしての働きに、どのような問題があるのか。まず、PCメーカーやソフトウェアベンダーがユーザーごとのターゲティングを行う場合には、何らかの形でユーザーとの合意形成し、ターゲティングによるレコメンド広告であることを明確に示す必要がある。今回のSuperfishの広告差し替えのフローは、意図的かそうでないかを問わずSSL通信も中継している点の説明が不十分であり、問題だったといえる。

　この問題に対しては、アドウェアを開発したベンダーが不備を謝罪し、当該アプリ等を削除し、対策を講じるべきだろう。

【次ページ】ユーザーの対策は、Superfishとルート証明書を削除すること