【Impress Watch】 (2015/2/20 12:42)
2014年9月から12月にかけて出荷されたLenovo製コンシューマ向け製品に「Superfish」と呼ばれる
セキュリティ上問題のあるソフトがプリインストールされていたことが明るみに出た。同社は2月19日(米国
時間)付けで、現在ではその搭載を停止していることを発表するとともに、プリインストールされていた場合の
対策を開示した。
Superfishは、Lenovoによれば、「オンラインショッピングを行なう際に、ユーザーが興味ある製品を
みつけるのを手助けするソフト」とされ、一時期の製品に搭載されていた。だが、このソフトは、自身で署名し
ローカルに保存したルート証明書を使って、HTTPS通信を傍受することから、暗号化通信に甚大な脅威を
もたらす脆弱性がある。
Superfishの挙動は一般的に悪意のあるマルウェアと呼ぶに相応しいものだが、同社の見解は「我々は
本アプリケーションを徹底的に調査しましたが、セキュリティ上の懸念を実証するいかなる証拠も
見つかりませんでした。ユーザーのフィードバックがポジティブなものでなかったため、迅速にその対応を
しました」という自己肯定的なもので、ユーザーに対する謝罪は見受けられない。
同社は1月の時点でSuperfishのプリインストールを停止しており、サーバーとの通信も遮断。今後、同ソフトを
プリインストールをすることはないとしている。
対象となる製品は、G/U/Y/Z/S/Flex/MIIX/YOGA/Eシリーズと、コンシューマ向けのPC、タブレットの
大多数だが、ThinkPadシリーズは含まれない。
ソフトは「プログラムのアンインストールと変更」から通常の手順でアンインストールできるが、これだけでは
ローカルのルート証明書は削除されない。「コンピューター証明書の管理」から、「信頼された
ルート証明機関」→「証明書」と開き、「Superfish,Inc.」を削除する。
【13時40分追記】記事掲載後に英文の見解が大幅に変更され、
「We apologize for causing any concern to any users for any reason-and we are always trying to learn from experience and improve what we do and how we do it.」(我々は、
どのような理由であれ、全てのユーザーに対して引き起こした全てのご迷惑に対して謝罪します。また、我々は
常に経験から学習し、我々が行なうこと、およびそのやり方を改善していきます)との追記がなされた。
加えて同社は、今後数週間かけて問題を再調査し、パートナーおよび業界のエキスパート、ユーザーと
話し合いを行なっていくほか、2月末までに、さらなる対策を発表するとしている。
また、ThinkPad以外にも、デスクトップ、スマートフォン、エンタープライズ向けサーバー/ストレージにも
このソフトがインストールされていないことを明記した。
【15時20分追記】この件に関して、NECとLenovoの両出資であるLenovo NEC Holdings B.V.の子会社となる
NECパーソナルコンピュータから、Superfishが同社の製品にプリインストールされたことは一切ないとの
コメントが得られた。
Superfish証明書の削除方法(画面は英語版)
ソース: http://pc.watch.impress.co.jp/docs/news/20150220_689306.html
関連ソース:
レノボ、PC製品に危険なアドウェア「Superfish」をプレロード–「1月より停止」と声明 | CNET Japan
http://japan.cnet.com/news/service/35060677/
SSL通信を盗聴される恐れ、ノートPCに潜む「Superfish」の正体 | 日経BP
http://itpro.nikkeibp.co.jp/atcl/news/15/022000625/
「回収はしない」「自分で削除を」、Superfishセキュリティ問題でレノボ日本法人 | 日経BP
http://itpro.nikkeibp.co.jp/atcl/news/15/022000629/
とおもったら、結構報道されてた。
中身消してUbuntuに入れ替えてるけどさ
EU圏ではOS上でなく本体に仕込んであるとの事で使わないよう呼びかけてる。
BIOSかな?
だからLenovo製品は買わないよ
それでもリスクを踏んだNEC経営陣の責任は重い。
日本ではlenovoもNECも使い放題
さすがに年寄りとかゆとりはかわいそうな気がするな
それにsuperfishのルート証明書使って
(他のverisignとかのルート証明書で署名された)HTTPS通信を傍受なんて可能なの?
まあシナ製のPCなんか使うなら何されても不思議じゃないって言えばそれまでなんだけど
「次はもっと上手くやりますから」
ということだ
新しいバックドアを開発投入済みなので、今回の発表になったのですね
もたれているのに、なんでレノボは安全だと思ったのかな(~_~?
IBMからPC部門買ったのに、
こんなレベルまで堕ちてしまった。
検索エンジンはhao123か百度を使うよろし。simejiも食べるアルか?
欧米は禁止にしたりするのにね?
米FDAは、韓国産海産物禁止にしてるけど、日本は検査軽くして輸入し続けてますw
やはり、日本はおかしい。
友達の勤めてる同業者もNが標準機だから実質的にレノボだし
日本は平和ボケとコストオンリーで終わりすぎ
大企業だったら自社の環境(OS、オフィス、社内システム関連のソフト等)をまとめて一からインストールするから
ソフト起因の今回の件については問題無いでしょ
レノボはハードウェアにも仕込んでる可能性があるからその点ではお察しだけど
そうでもないのがうちの怖いところ
まあ最近は社内が外人や派遣だらけになってるからもうどうでもいいのかもしれんがなw
窓から投げ捨てて土日で新しいの買えばおk
暗号解除はこのソフトが行って、ブラウザに平文で戻すのかな。
本来は安全であるSSLの傍受中継基地を勝手に作ると
パチンコの3店方式だな。
けっこう本格的なマルウェアですね。
悪質度はキーロガーレベル
逮捕者出るのが普通
やっぱりな♂