UNITED STATES COMPUTER EMERGENCY READINESS TEAM

US-CERTは2月20日(現地時間)、「Lenovo Computers Vulnerable to HTTPS Spoofing|US-CERT」において、Lenovoのコンシューマ向けPCにプレインストールされていた「Superfish Visual Discovery」と呼ばれるソフトウェアに重大な脆弱性が存在することを伝えた。この脆弱性を悪用されると、HTTPSで暗号化された通信内容を読み取られたり、他の攻撃などを引き起こされたりする危険性がある。

US-CERTは「Vulnerability Note VU#529496 Komodia Redirector with SSL Digestor fails to properly validate SSL and installs non-unique root CA certificates and private keys」および「Alert (TA15-051A)|Lenovo Superfish Adware Vulnerable to HTTPS Spoofing」の情報も確認することを推奨している。

Lenovoからはすでにこのソフトウェアを削除するソフトウェアの公開が始まっていることから、該当するプロダクトを使用している場合は可能な限り迅速に対策を実施することが推奨される。対策を実施するまでは可能な限りWebサイトへのアクセスを避けるなど、危険を回避する行動を取ることが望まれる。