2015年02月21日

LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった!

LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった!
http://jp.techcrunch.com/2015/02/19/20150218lenovo-superfish/
Jon Russell 2015年2月19日

Lenovoは今日(米国時間2/18)、同社の消費者向けPCの全機種に重大なセキュリティホールが見つかるという、煮え湯を飲まされた。

Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。

今Lenovoにコメントを求めているが、まだ得られていない。

The Next Webの記事によると、1月にLenovoの社員のMark Hopkinsが、ある顧客のフォーラム上で、Lenovoが‘ヴィジュアル検索’企業のソフトウェアをプレロードしているのでは、という顧客からの嫌疑を確認している。そのときの彼の説明によると、そのソフトウェアには“ある問題が”あるので、“一時的に削除された”、という。その問題には、勝手に出現するポップアップも含まれていたようだ。Superfishに対して、市場に存在する既存のデバイスに対するアップデートを要請した、と彼は付け加えていた。

プレインストールは消費者に不評である。当然ながら彼らは、買ってきたばかりのデバイスがクリーンであることを求める。しかし一部のハードウェアメーカーは、そういうことをやってお金を稼いでいる。Superfishには、ブラウザにポップアップすることや、アンインストールする必要性などの面倒ばかりでなく、自分で署名してrootになりすまし、ユーザのWebブラウザからデータを集める、という深刻なセキュリティの脅威があるらしい。

さらにまた、サードパーティはSuperfishの証明キーを生成して、その悪質極まりない行動を自分のために利用できる。HackerNewsが、そのことを指摘している。

銀行利用のためのパスワードや振込用の暗証番号などの個人データがいちばん心配だが、すでにSuperfishの問題がたくさんツイートされている中には、下図に示すような、bankofamerica.comの証明のなりすましという深刻な例もある。こういうことが、できてしまうのだ。





Kenn White @kennwhite
This is a problem. #superfish


さらにまずいのは、Superfishのソフトウェアを削除しても、Lenoveのマシンから証明は(したがって脅威は)削除されないことだ。

Hopkinsは、PCに最初から組み込んだSuperfishにできることと、できないことを、次のように説明している:

Superfishの技術はコンテキストと画像だけを利用し、ユーザの行為行動は利用しない。すなわちそれは、ユーザの行為行動をプロファイリングしたり、モニタしたりはしない。ユーザ情報を記録しない。ユーザが誰であるかを関知しない。ユーザは追跡されないし、リターゲットされない。各セッションが独立で、他のセッションに/からデータを受け渡ししない。

しかしそれでも、ユーザのデータとセキュリティが危険にさらされているという事実が、Lenovoの顧客やセキュリティのエキスパートたちのあいだで警報として伝搬している現状は、すごく正当である。

なお、イギリス政府の諜報部門MI5とMI6は、同部門内におけるLenovo製品の使用を禁止した、と報じられている。ハッキング被害に遭いやすい、という脆弱性がその理由だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Lenovoにプリインストールされていたアドウェア.PNG



Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。
それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。
読売新聞の解説が分かり易いです。
「人気のパソコンブランド・レノボ(Lenovo)に、広告強制表示や電子証明書偽造などを行う悪質なアドウェアが、購入当初から入っていた。広告が勝手に挿入されるほか、電子証明書を偽造してネットバンキングにアクセスできないトラブルも起きている。」
重大なセキュリティホールが見付かったということです。
Made in Chinaは危険ですね。
クリーンインストールはせず、必ず手作業で削除しようとのこと。
説明の挿入リンクをかなり省いていますので、TechCrunchの転載元と読売新聞の転載元の確認方お願いします。



Lenovoに悪質アドウェアがプリインストール
http://www.yomiuri.co.jp/it/security/goshinjyutsu/20150220-OYT8T50142.html?from=ytop_ylist
2015年02月20日 17時47分

人気のパソコンブランド・レノボ(Lenovo)に、広告強制表示や電子証明書偽造などを行う悪質なアドウェアが、購入当初から入っていた。広告が勝手に挿入されるほか、電子証明書を偽造してネットバンキングにアクセスできないトラブルも起きている。(ITジャーナリスト・三上洋)

広告強制表示などを行う悪質アドウェアがプリインストール

 ノートパソコンとして人気のLenovo(中国・聯想集団)で、深刻なトラブルが起きている。購入当初から入っているソフトウェアが、広告の強制表示、通信の安全を確保するための電子証明書の偽造などを勝手に行っていたのだ。

 問題のソフトウェアは、LenovoにプリインストールされていたSuperfish社の「VisualDiscovery」というソフトウェア。勝手に広告などを強制表示するアドウェアの一種だ。

 まずは発覚した経緯をまとめる。詳細は「piyolog」のKango氏による「Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。」を参考にしてほしい。

Lenovoに入っている悪質アドウェア発覚の経緯

・Lenovoの掲示板、Q&Aサイトなどでアドウェアではないかとの指摘

 2014年9月頃からLenovoのサポート掲示板で、プリインストールされているSuperfish社の「VisualDiscovery」によって広告が強制表示されるなどの指摘があった。日本国内のQ&Aサイトや、Twitterなどでも同様の指摘があった。

・みずほ銀行、三菱東京UFJ銀行などでLenovoからのログインができない事象

Lenovoでネットバンキングなどのサイトでログインできない事象が発生した。みずほ銀行、や三菱東京UFJ銀行がウェブサイトでログインできない状況を告知。昨年12月にLenovo公式サイトが、原因となっているSuperfish社「VisualDiscovery」を削除する方法を掲載した。

・IT関連サイトがLenovoに入っているアドウェア「Superfish」の問題を記事に

 IT関連の情報サイト「The Next Web」が、2月19日にSuperfish社の「VisualDiscovery」の実態を記事にし、世界的に大きな話題になった(英文記事)。Lenovoにプリインストールされており、広告を強制表示する、電子証明書を偽造するなどの動きを指摘。セキュリティー研究者も続々と問題を指摘している。

・Lenovoが公式声明「1月からプリインストールを中止している」

2月20日にLenovoが公式声明(英語)を出した。Superfishの問題を認め、1月以降の製品ではプリインストールを行っていないと発表している。声明では「ユーザーの行動を監視・記録はせず、特定・追跡も行っていない」としているが、電子証明書の問題には触れていない。

 このようにユーザーからの指摘がありながら、Lenovoは3か月以上にわたって、悪質なアドウェアを入れたままで販売していた。掲示板などの指摘でプリインストールは1月にやめたものの、ユーザー向けの周知は行わず、記事が大きな話題になってから公式声明を出した状態だ。その公式声明も、Superfishの性質や問題点に触れておらず、削除の手順も不十分のように思える。

プリインストールのソフトウェアが広告強制表示・偽の電子証明書

 Lenovoは中国・聯想集団のパソコンブランドだ。2004年にIBMのパソコン部門を買収したことから、ThinkPadブランドが聯想集団から発売されることになり、Lenovoブランドとして今に続いている。

 問題のアドウェアSuperfish社の「VisualDiscovery」は、2013年9月から12月まで発売されていたLenovoのパソコンに入っていた。どんな動きをするのかまとめる。詳細はnekoruri氏が「Superfishが危険な理由」という記事を参考にしてほしい。

・広告の強制表示を行う

 様々なウェブサイトで、勝手に広告を挿入する。検索キーワードや表示した画像を基に、関連した広告を挿入するアドウェアだ。Webプロキシとして動き、勝手にHTMLを書き換えて広告を挿入するJavaScriptを埋め込んでいると思われる。Chromeとインターネットエクスプローラー(IE)で動作する。

・暗号化した通信(SSL)を傍受して解除

 通信の安全性を確保するSSLで暗号化された通信を傍受し、解除していた疑惑。セキュリティー企業・Errata社が自社ブログで指摘している。

・電子証明書の偽造を行う

複数のセキュリティー研究者が、Superfish社の「VisualDiscovery」が電子証明書の偽造を行っていると指摘。途中の通信を乗っ取り、信頼できる電子証明書の認証局ではなく、Superfish社が認証局として証明書を出して認証していた可能性がある(詳細はnekoruri氏による記事「Superfishが危険な理由」を参照のこと)。これにより、みずほ銀行、三菱東京UFJ銀行でのログインができなくなったと推定できる。

・秘密鍵の保存により、場合によってはWiFiでの盗聴も可能に?

前出のセキュリティー企業・Errata社のブログによると、SSLの秘密鍵を保存していた可能性がある。ここを攻撃された場合、通信の途中、たとえばWiFiスポットなどで、通信内容を盗聴されてしまう可能性もある。

 あらゆるサイトで広告挿入をするだけでも不快な上に、安全性を証明する電子証明書を偽造、さらに通信内容まで見られる可能性もある。

 かなり衝撃的な内容で、これはアドウェアというよりも、不正な動きをするマルウェアと言ってもいいだろう。複数のセキュリティー企業が「VisualDiscovery」を危険なソフトウェアとして削除対象にしている。

 Lenovoの聯想集団には、中国政府が大きな資本を入れている。そのため以前から、アメリカの米中経済安全保障検討委員会は、政府機関での使用に懸念を表明していた。今回の事件は、その疑惑を実証する形になってしまっている。Lenovo側は個人情報を保存・追跡していないと声明を出しているものの、それを可能にする不正なソフトウェアをプリインストールしていたのだから弁解は難しいだろう。

「VisualDiscovery」と不正な電子証明書を削除する

 対象となる機種は以下の通りだ。

●Lenovoのパソコンで「VisualDiscovery」が入っていた機種:2014年9月から12月まで出荷されていた機種

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45

U Series: U330P, U430P, U330Touch, U430Touch, U530Touch

Y Series: Y430P, Y40-70, Y50-70

Z Series: Z40-75, Z50-75, Z40-70, Z50-70

S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch

Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10

MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11

YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

E Series: E10-30

 対策は2つで、1つは「VisualDiscovery」を削除すること。Lenovoサポートの「電子証明書を利用したWEBサイトにログインできないについてのお知らせ」http://support.lenovo.com/jp/ja/documents/HT101983に削除方法が書かれている。

 2つ目は「VisualDiscovery」の電子証明書を削除することだ。「piyolog」のKango氏による「Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。」に方法が書かれているので参考にしてほしい。

 なお今回の事例では、クリーンインストールは逆効果になるので注意。アドウェア自体がプリインストールされているため、Lenovoでクリーンインストールを行うと、再びアドウェアが入ってしまう。クリーンインストールはせず、必ず手作業で削除しよう。
【関連する記事】
posted by hazuki at 00:21| Comment(0) | TrackBack(0) | インターネット全般 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック