reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 「The Next Web」によると、LenovoのPCのすべてに「Superfish」というアドウェア(広告配信ソフトウェア)が搭載されており、利用者の許可なしにGoogle検索やWebサイト上にサードパーティの広告を勝手に注入することがわかりました。
 
Lenovo Caught Installing Adware On New Computers
IIt looks like Lenovo has been installing adware onto new consumer computers from the company that activates when taken out of the box for the first time.


 「Superfish」は、Lenovoのコンピュータ上で動作するInternet ExplorerとGoogle Chromeに広告を注入します。
 
 しかし、問題は広告の注入だけではすみませんでした。はっきりって、もっと酷い状態です。
 
 なんと「Superfish」が原因でオンラインバンキングなどでログイン時に投入するパスワードなどの重要な情報が第三者の手に渡る可能性があるというのです。
 
 この問題については、「The Verge」の以下の記事に詳しく説明されています。

Lenovo installs adware on its computers that could let hackers steal private data | The Verge
A vulnerability has been discovered in a piece of software that ships pre-loaded onto Lenovo computers that could grant hackers access to a user's secure browser data, allowing third parties to potentially collect passwords, bank details, and other sensitive information.



 この記事によると、「Supefish」はSSL証明書をインストールして、プロキシとして動作し、セキュアな通信に割り込むことができるとのこと。これにより「MITM(man-in-the-middle)攻撃(中間者攻撃)」と呼ばれる攻撃が可能となります。
 
 上記記事内でも引用されているセキュリティ専門家Kenn White氏のツイートでは、実際にアメリカの大手メガバンクである「バンク・オブ・アメリカ」のオンラインバンキングサイトにログインした際の写真をアップロードしています。




 この写真の右側には「Bank of America」の正規サイトが表示されていますが、使用されている証明書の発行者が「Superfish,Inc.」となっていることがわかります。
 
 以下に「Superfish」に汚染されていないPCで同じ証明書を表示した写真を掲載するので見比べてみてください。証明書の発行者が「VeriSign」となっていることがわかります。これが本来の状態です。
 
boa.png
 
 
 「Superfish」に汚染されたレノボ製のPCを使うと、本来ならベリサインのような信頼できる認証機関から発行されるべき証明書が「Superfish」により発行されてしまいます。これにより、「Superfish」はセキュアな通信であっても広告を注入しているのですが、それだけではなく暗号化された情報のやりとりも盗み取ることが可能です。
 
 このように、「Superfish」には単に広告を注入されてしまうというアドウェアとしての側面だけでなく、オンラインバンキングなどで利用するパスワードなどの機密情報までもが盗まれるリスクがあるのです。
 
 さらに。
 
 「Superfish」がクラックされ証明書発行用に使用しているキーが解読されると、別の第三者に悪用される可能性も指摘されています。
 
 そもそも、ユーザの許可なく広告を注入するようなアドウェアを仕込んで出荷するという姿勢そのものにも賛同しかねますが、それがためにさらに利用者を危険にさらすような状況というのは決して許されるものではありません。
 
 レノボはこの問題を認識しており、自身のサイトで「Superfish」(正確にはSuperfish社 Visual Discover)の削除方法をなんと昨年12月に公表しています。しかも、広告を注入すること、機密情報を盗み取ることができる状態だったことには一切触れず、単に「電子証明書を利用したWebサイトにログイン出来ないことが確認されています」としか伝えていません。
 
電子証明書を利用したWebサイトにログインできないについてのお知らせ - Lenovo Support (JP)
Lenovo Idea製品の一部においてプリインストールされているソフトウエアの影響で、電子証明書を利用したWebサイトにログイン出来ないことが確認されています。

 
 この対応からはとても真摯に利用者のことを考えているとは思えません。
 
 レノボには、「Superfish」を組み込んで出荷した意図をきちんと説明してもらいたいものです。
 
【追記】以下のエントリで、Superfishのリスクを取り除く方法を解説しています。合わせてどうぞ!
Lenovo製PCに組み込まれたアドウェアSuperfishのリスクを取り除く方法 - I believe in technology
Lenovoのサイトに記載されている方法では、Superfishのアンインストールはできるものの、肝心のルート証明書は残ったままとなり、MITM攻撃のリスクは依然として残されたままとなります。



 



Posted by
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。