Trusted Design

アクセスカウンタ

zoom RSS レノボのPCのアドウェア騒動

<<   作成日時 : 2015/02/21 07:18   >>

なるほど(納得、参考になった、ヘー) ブログ気持玉 2 / トラックバック 4 / コメント 0

 レノボのコンシュマー向けPCにSuperfishというアドウェアが搭載されており,このSuperfishがセキュリティホールになって不正なアクセスが可能になってしまう事象が指摘されています。

 このSuperfishの動きと危険性については,次のサイトで詳しく説明しています。

 価格競争とか,いろいろある中で,アドウェアをプリインストルする戦略もわからないではないですが,Superfishの動作の仕組みを考えると,許可してはいけないアドウェアの筆頭格です。現在の公開鍵を利用した認証の基盤の根幹を揺るがすような問題だからです。

 ブラウザにはSymantecやGlobalSignといったCA機関が発行したルート証明書が「信頼されたルート証明機関」の証明書としてインストールされています。証明書を使った技術というのは,ルート証明書が信頼できるので,そのCAが発行した証明書は信頼できるといった,信頼のチェーンを構築して,サーバなどを信頼する仕組みです。例えばgmailだとGeoTrustから証明書が発行されているようです。(ちなみにこれはMacBook ProのSafariで取得した画像です。WindowsのInternet Explorerではまた別の取得画面となります。)
画像


 Superfishはこのルート証明書を発行する認証局を各PCにインストールして,ルート証明書を「信頼された証明機関」にルート証明書を格納することで,自分が発行した証明書をブラウザ(WindowsのInternet Explorer)に信頼させます。

 そして,SSL通信をすべてSuperfishで傍受して,通信の中身を解析し,Superfishが出力したい広告を追加してブラウザに表示させているわけです。ユーザに怪しまれないように,SSL通信のサーバ証明書はSuperfishのルート認証局から発行します。これによって,SSL通信中にアドレスバーが赤色になることを防いでいます。

 これって,典型的な中間者攻撃です。悪い人が悪用すると(Superfishも十分悪い人で,とても悪用していると思いますが),例えばインターネットバンキングで1万円をAさんに振り込もうとしたら,10万円をBさんに振り込むなどの不正送金が可能になってしまいます。

 ヤフー知恵袋に,「レノボのノートパソコンを購入したのですが、ネットを開くたびにexplore shopping With visualdiscoveryという広告が度々出て困っています。」という投稿がありました。Superfishが入っているPCだとこういう事象が発生するのでしょう。

 レノボはこの問題に対して,Superfishに関するレノボの見解を示しています。お客様のためにプリインストールしてあげたけど,このソフトウェアが怪しいと言われたので対策します。といった内容です。
 さらに,Superfishの脆弱性を説明するページもありますが,「Superfishは自己署名証明書を用いてHTTP(S)通信を傍受する」としか書いておらず,何が脆弱性なのか説明していません。(説明したらもっと大変なことになるとわかっているのでしょうね。)

 お気楽だなぁ〜。

 レノボは2013年7月にもPCのチップの脆弱性により外部からアクセス可能となる問題を指摘され,各国政府がレノボ製PCの使用を禁止したなどの問題を起こしています。

 企業は巧妙にユーザのデータをサーバに蓄積する技術を向上させつつ,このような失敗を繰り返しながら,なし崩し的に個人情報の取得を既得権益とする方向で進んでいるんだろうなぁって思うニュースでした。

 ユーザーがマルウェアの侵入を必死に防いでいても,PC買った時にマルウェアがプリインストールされていたら,どうしようもない。今回のレノボの失態は,簡単に忘れてはいけない問題だと思います。

------
 Trusted Design

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 2
なるほど(納得、参考になった、ヘー) なるほど(納得、参考になった、ヘー)

トラックバック(4件)

タイトル (本文) ブログ名/日時
レノボのPCからプリインストールアプリがなくなる
 レノボのPCにプリイストールされていたアドウェア「SuperFish」問題が発覚して大騒ぎになっています。「SuperFish」問題については,先のブログをみてください。 この問題を収束させるため,レノボがプリインストールアプリの大幅な削減を発表しました。ITMediaにニュースが紹介されています。 ...続きを見る
Trusted Design
2015/03/01 06:30
公開鍵認証基盤の危機
 VerisignやGlobalSignなどの認証局事業者(ルート認証局)が発行している,SSL証明書について,証明書の発行プロセス自体に問題があるのではないかという指摘が,米CERT/CCなどのセキュリティ期間から出ています。今までも,SSL証明書の不正取得は問題になることがありました。今回は,発行のプロセス自体を問題視されているので,ちょっと厄介なことになるかもしれません。 ...続きを見る
Trusted Design
2015/04/05 06:30
暗号化通信を盗聴するマルウエア「WERDLOD」
 日本のインターネットバンキングを狙うマルウエア「WERDLOD」が見つかりました。1月〜3月に国内だけで400件近い報告があったそうです。ITMediaに紹介記事が出ています。 ...続きを見る
Trusted Design
2015/04/15 07:59
レノボのセキュリティ大丈夫?
 SuperFish事件など,セキュリティで色々問題を起こしているLenovoがまたセキュリティ上の事件を起こしてしまいました。今度は,システム更新などのアップデート配信に使われている「Lenovo System Update」に脆弱性があったということです。現在は,パッチを当てて脆弱性は無くなっています。ITMediaに紹介記事が出ています。 ...続きを見る
Trusted Design
2015/05/08 05:56

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
レノボのPCのアドウェア騒動 Trusted Design/BIGLOBEウェブリブログ
文字サイズ:       閉じる