レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴

レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴

レノボPCの人は今すぐココ開いてSuperfishの脆弱性にやられてるかどうかチェックしてください! 「Good, ~」って水色の文字で出たらセーフ。「Yes」はアウトなので後述の指示に従ってね。

レノボ製の2014年9月~12月製造(lenovo発表)のパソコンに工場出荷の段階で「セキュアな取引きまで傍受できる」とんでもないアドウェアがプリインストールされていたことが、同社フォーラムに寄せられた苦情多数で明らかになりました。

ソフトの名前は「Superfish」。グーグルの検索結果やサイトを開くとユーザーの許可なしにサードパーティー製の広告を挿入するアドウェアで、少なくともChromeやIEでは動作が確認されています。

広告挿入もひどいけど、問題はそれだけじゃありません。こやつ、自己署名証明書を自己発行して、偽のSSL証明書を生成し、SSL通信の中身まで覗けるようにする不届き者なのです。俗に言う「オレオレ証明書」。

それの何が問題なのか? セキュリティの専門家のKenn Whiteさんがこんな一例を紹介してますよ。

そう、バンカメの銀行口座で行う操作も第三者に丸見えになっちゃうんです!

ソフトで発行した証明書を見てください。「issued to Bank of America(バンク・オブ・アメリカ宛てに発行)」された証明書の発行主が…なぜか「Superfish」になってます。本来ならここには信頼ある認証局のVeriSignなんかがこなきゃダメなのに。Superfishは閲覧データをチェックして広告会社に転送するソフトなので、こんな風にセキュアなコンテンツまでアクセスできるのは大・大問題なのでありますよ。

問題はまだあります。ユーザーやThe Vergeが書いてるように、このSuperfish、同じ秘密鍵を使ってマシンのルート証明書まで発行できるんです。

つまり、誰かにこの証明書の暗号鍵を破られたら大ピンチ。Superfishに毒されたレノボPC(現段階ではほぼ全台)が信頼する証明書も生成可能になって、持ち主に悟られないまま外から悪玉コードを植え付け放題できるということです。オーマイガッデスなんまいだー!

この問題が表面化したのは今年1月、Lenovoコミュニティ管理者のMark Hopkinsさんが同社フォーラムに残した「レノボはコンシューマシステムからSuperfishをとりあえず削除しました」という書き込みがきっかけでした。そんなものをなぜ出荷段階で入れたのかについては、Superfishは「ユーザーが製品を視覚で発見・理解するのを支援」し、「ウェブ上の画像を瞬時に分析し、同じ製品や類似品でもっと安い価格のものを表示する」ものだと書いて擁護してます。でも、ここまで問題が大きくなると、そうも言ってられなくなりますね。

ここまでの記事を米版で公開した直後に、証明書の暗号鍵はErrata Security社のRob Graham氏によってアッサリ破られてしまいました…。これにてSuperfish搭載レノボマシンはすべて攻撃対象に。繰り返しになりますが、レノボPC持ってる人は一番上のリンク先で今すぐ感染してるかどうかチェックしてくださいね! 今すぐ!

Lenovoからはこんな声明が出ましたよ。

レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴

やれやれひと安心…て、Superfish込みのPCをもう買ってしまった人の問題解決には全然なりませんけどね。root証明書が脆弱だと、そこが外部からの侵入を許すウィークポイントになります。その問題は残ったままです。

もし一番上のリンク先で判定結果が「Yes」と出てしまった方は、 マシンのバックアップをとって、Windowsをクリーンインストールするか、あるいはレジストリを開いて問題の証明書を手動で削除することをおすすめします。

それにしても一連の騒ぎで最悪なのは、レノボの声明のこのくだりでしょう。

ウェブで証拠がこれだけ出回ってるときに、それはちょっと…。「Superfishは無効にした、新しく出荷されるPCには搭載されてない」とは言っても、その前に買った人は脆弱性を抱えたままなので、言葉をどう入れ替えても問題の深刻さが和らぐことはないと思いますよ。

追記(2015/02/20 14:00):「Superfish」がインストールされていたのは、2014年9月から12月にかけて出荷されたコンシューマ向けノートPC製品の一部に限ると、lenovo社が発表。

追記2(2015/02/21 8:24): 米国土安全保障省コンピュータ緊急対応チーム(US-CERT)は「プリインストール開始は2014年9月からだが、他のアプリにバンドルが始まったのは2010年からという報道もある」とし、直ちにSuperfishを削除するよう警告しています。

追記3(2015/02/21 10:21): マイクロソフトが、PC搭載アンチウイルスソフト「Windows Defender」でSuperfishを検出・削除できるよう対応しました。迂回してたSSL証明書もすべてリセットされます。「Yes」と出てお困りの方は今すぐWindows Defenderをアップデートし、スキャン実行してみてください!

追記4(2015/02/21 11:32): レノボが「Automatic Removal Tool(自動削除ツール)」をリリースしました! 全主要ブラウザ対応。証明書リセット込み。リンク先でダウンロードできます。

image by 360b / Shutterstock.com

source: TNW、The Verge

Jamie Condliffe - Gizmodo US[原文]

(satomi)