--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2015.11.24 12:34|カテゴリ:Security

Superfishの悪夢再び Dell、自己署名ルート証明書「eDellRoot」をPCにプリインストールしていたことが発覚


 今年2月に発覚したLenovoによる「SuperFish」を覚えていらっしゃいますか?
 
 SuperFishは、元々Lenovoが出荷するPCに仕込まれたアドウェア(広告を表示するソフトウェア)です。それだけでも問題なのですが、「SuperFish」を悪用することで、悪意のある第三者が証明書を偽装し、暗号化されたHTTPS通信を盗聴したり、割り込んだりすることが可能であったため、大きな問題となりました。

Lenovo製PCは危険! 出荷時からアドウェア「Superfish」を仕込み広告を注入するだけでなく、パスワードを盗まれるリスクもある|I believe in technology
 「Superfish」は、Lenovoのコンピュータ上で動作するInternet ExplorerとGoogle Chromeに広告を注入します。    しかし、問題は広告の注入だけではすみませんでした。はっきりって、もっと酷い状態です。



 この「SuperFish」と同じ問題がDellのPCにも存在することがわかりました。

 発見したのは、Dell製のPC「Inspiron 5000」を購入したJoe Nordさん。彼は、Dell製PC上に不審なルート証明書がプリインストールされていることをTwitterと自身のブログで公表しています。
 

 


I recently purchased a Dell Inspiron 5000 series notebook (October 2015).? Setting things up, I was surprised to see a trusted root certificate pre-installed on the machine labeled "eDellRoot".? I'm having a tough time coming up with a good reason that Dell Computer Corporation needs to be a trusted root CA on my computer.
Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate



 Joe Nordさんが発見した不審なルート証明書「eDellRoot」は、信頼できるルート証明書として組み込まれており、さらにこの証明書の秘密鍵もPCに内に格納されていました。
 
 「SuperFish」と異なり、アドウェアは仕込まれていないようですが、セキュリティ上のリスクは同様で悪意のある第三者が証明書を偽装し、暗号化されたHTTPS通信を盗聴したり、割り込んだりすることが可能です。

 この問題に対する問い合わせに対し、Dellの公式サポートアカウント@DellCaresは以下のような回答を返すなど、状況を軽視しているようにも見えます。
 



 Dellがいつの時点から、自己署名ルート証明書である「eDellRoot」を組み込みはじめたかが気になるところですが、Lenovoの「SuperFish」問題が明るみに出た以降も、「eDellRoot」を除去しなかった点に企業モラル上の問題を感じます。

 おそらく今後Dellから追加のアナウンスが行われることが予想されますが、どのような言い訳をするのか注意深く見守りたいと思います。
 

続報


ゾンビのように生き返るDellの自己署名ルート証明書「eDellRoot」の削除方法|I believe in technology
 証明書なので、知識のある方はご自分で削除することもできますが、なんと「eDellRoot」は削除しても、再起動するとよみがえるということが、「the Register」の以下のエントリで解説されています。記事にあるように、まるでゾンビみたいですね。



 
 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。