Lenovoが中間者攻撃的な挙動をするアドウェアをプリインストールしていたことが明らかに 91
これはアウトだ 部門より
Slashdotへのタレコミ:Malware Preloaded on Lenovo Laptopsより(元ネタのTechSpot記事)。
現時点ではフォーラムの数件の投稿とマイナーな技術系ニュース・ブログで報じられているだけだが、どうやら、いくつかのLenovoのノートPCには「Suprefish」というマルウェアがプリインストールされており、それを完全に除去するのが容易ではないらしい。
スクリーンショットを含むレノボフォーラムの記事の本題はSSLについてのものではないが、SSLコネクションを乗っ取る中間者攻撃かもしれないということを示している。
これがデマであるかないかを言うにはまだ早すぎるが、新しいシステムにこのマルウェアがインストールされていたという複数の投稿がある。
自分自身でクリーンなインストールディスクを作成し、ドライバをUSBメモリに入れるだけにするもう一つのよい理由になるだろう。
Superfishというマルウェアが出荷時からインストールされているという話ですが、それがTLSを乗っ取るというので、EngadgetやTechCrunchでも話題になっているようです。
ZDNet Japanによると、Superfishは閲覧しているWebサイトに勝手に広告を埋め込むというアドウェアだそうだ。Superfishでは自己署名証明書をシステムにプリインストールしておくことで、HTTPだけでなくHTTPSを使用したサイトに対しても広告を埋め込めるようにしており、この証明書を悪用することで中間者攻撃が可能になるという。
Lenovo側はこれについて、2015年1月よりプリインストールは中止していると述べているという。この問題を解決するには、Superfishを削除するだけでなく、問題となっている証明書を削除する必要がある。
色々もう、、、 (スコア:4, 興味深い)
新品PCにこんなものが! - Geekなページ 2012/11/7 [geekpage.jp]
これ見た時から作業している人が、マルウェアでもなんでもインストールし放題の管理体制なんだ。
っと、思っていましたが、会社が率先して仕込むとは、、、
> この事実を深刻に受け止め二度と同じようなことの起きぬよう、レノボ製品の製造工場に対し厳しい再発防止策を講じました。
再発防止策を講じても、会社が業務として仕込むのは対象外なんですね。当たり前ですが。(^^;
Superfishが危険な理由 (スコア:4, 参考になる)
http://d.hatena.ne.jp/nekoruri/20150220/superfish [hatena.ne.jp]
このサイトの解説がとても分かり易かったです
ThinkPad シリーズは含まれないらしい (スコア:2, 参考になる)
http://pc.watch.impress.co.jp/docs/news/20150220_689306.html [impress.co.jp]
Re: (スコア:0)
昨年10月にT440s買ったけど入ってなかったな。
Baidu IMEも入っていなかったし、Think何とかなら当分は信頼できる気がする。
Re: (スコア:0)
ドライバ大丈夫ですかね?
プリインOS消してOSで入るドライバだけにしたら、レスポンス違うわ、変なIO発生しないわと。。
質が落ちただけ?
Re: (スコア:0)
おっしゃるように、Lenovo謹製ツールで必要なもの以外入れない方が快適ですね。
指紋認証関係とLenovo Settings以外は無くていいかな。
Thinkpadは3年前より今の方が安定してると思います。
タッチパッドが元に戻ったからT450sは人に薦めやすくなった。
Mozillaでも対応を検討中 (スコア:1)
Bug 1134506 - Mark "Superfish, Inc." root certificate as untrusted in NSS
https://bugzilla.mozilla.org/show_bug.cgi?id=1134506 [mozilla.org]
自己署名証明書なら、ブラウザで警告出るだろう、と思ったら。 (スコア:1)
タレコミの
> Superfishでは自己署名証明書をシステムにプリインストールしておくことで
は、間違いで、
> 自己署名証明書を発行するルート認証局をインストールしていた (ZDNet)
が正しいようだ。
ああ、もしかしたら hylom によって、勝手に埋め込まれたってネタなのかもしれない。
Re:自己署名証明書なら、ブラウザで警告出るだろう、と思ったら。 (スコア:3, 参考になる)
本家ベータの直訳をタレ込んだのですが、ご指摘の点はご想像のとおりです。元記事自体がかなり分かりにくくて英文としても破綻していたので、あのままではちょっと辛いクォリティでした。恐らくそれを直して補足する中でそうなったのでしょう。
タレ込み時点では一部のセキュリティ関係者がツイッターで「英語圏で話題になっている」とコメントしている程度で、日本語情報がほとんどなく、でも「これはしゃれにならん」と。「オレオレ証明書」入りシステムが売られていたわけですから。
元記事ではどうやら「リカバリーかけてもSuperfishが入っている」ということだったようで、「メーカー純正システムイメージが汚染されている」ということから「自前のクリーンなインストールディスクと別途入手のドライバを」という話になったようです。
何にせよ、私の内部であの会社に対する信頼がついに木っ端微塵になってしまったのは確かです。持っているのはThinkPadですが、せめてVAIOみたいに会社レベルで分かれていないと、もうね。サーバーの商談が飛んでしまったとか、入札条件に「過去にセキュリティを低下させるソフトウェアを意図的にインストールした製品を出荷したことがないこと」という条件を追加されたりしたとか、あっても驚きません。
Jubilee
Re:自己署名証明書なら、ブラウザで警告出るだろう、と思ったら。 (スコア:2, 興味深い)
問題を大きくしているのは、それにプラスして、「CAの秘密鍵をプログラム内に保有しており、かつ全機器で共通だった」点ですね。これにより、当該CAで認証した証明書を誰でも偽造できるようになったということです。
Re:自己署名証明書なら、ブラウザで警告出るだろう、と思ったら。 (スコア:2)
秘密鍵を持ってなきゃ、改竄後に返すものを署名できないですよ。秘密鍵自体はMITMに必須で、それをPC一台ごとに変えていなかったのが特徴。
もちろん、こういうものを作ったり仕込んだりすることに倫理観がないというのは前提として。
Re: (スコア:0)
>それをPC一台ごとに変えていなかったのが特徴。
この対策でもいいですが、それよりも外のサーバ(MITMする前)の認証を行うときにsuperfishのCAで署名されたものを弾くようにすべきでしたね
たぶん作った人はセキュリティの知識がなんにもない or そもそもセキュアにする気がないのでしょう
Re: (スコア:0)
にわかには信じられないほどすさまじいな…。こんなことやられたら何も信じられないね。
ショッピング体験の向上だと? (スコア:1)
「本ソフトウェアが、Superfishが意図したようにお客様のショッピング体験を向上させるものと私たちは考えていました。しかしそれはお客様の期待に応えるようなものではありませんでした。」
見ているページを勝手に書き換えるのは、ショッピング以前の段階ではないんかい?本当のことを言いなさい。お金に目が眩んだんでしょう?広告が出るかわりにその分は値引きしていますというなら、インストールを中止したら値上げになるはずなのですが…
「私たちは常に経験から学びながら、私たちが何をすべきか、どのように行うべきか、について改善を続けていく所存です。」
なんだっけビスマルクの言葉だっけ、歴史から学ぶのが賢者で、経験から学ぶのは…
Re:ショッピング体験の向上だと? (スコア:1)
amazonとかヤフオクで検索した商品が、
ネットの別の場所で広告として出てくる。
これもSuperfishのせいだったか
Re:ショッピング体験の向上だと? (スコア:1)
なぜ起こったのか想像できない。なんで? (スコア:1)
不具合はわかる
壊れるのもわかる
壊れたのを全部改修交換すると会社つぶれちゃうんで勘弁してください、というのもわからないでもない(あったよねー)
しかし、こういう、最初から悪意をもった何事かを
「世界で幾分以上もシェアをもってる会社」が行うというのが、
理解も想像できない。修辞でなくて本気で。リスク高すぎ
会社として小銭がほしかっただけとは思えない
もののわかった人が皆無のわけもない
少数の悪意の人間が裏金とかで無理押しした? あるかもだけどバレるぐらいわかりそう
本当に想像できない。いつか知りたい思う
Re: (スコア:0)
いや大した悪意なんて無く「これならHTTPSにも広告差し込めるぜ!」と考えただけでしょ。
広告を差し込める程度の悪意だからこそ、こんな事が出来る。
Re: (スコア:0)
悪意ではなく、ただの無知だったとしたら?
Re: (スコア:0)
党の命令でしょ。
違うと言うなら、削除ツールを出せ。
企業体質 (スコア:1)
http://blogs.wsj.com/digits/2015/02/19/lenovo-cto-were-working-to-wipe... [wsj.com]
ウォールストリートジャーナル:
セキュリティ研究者の懸念と乖離があるようだけど?
レノボのCTO:
そいつらと話すつもりはない。
こんな会社です。
Re:企業体質 (スコア:1)
"We’re not trying to get into an argument with the security guys. They’re dealing with theoretical concerns. We have no insight that anything nefarious has occurred. But we agree that this was not something we want to have on the system, and we realized we needed to do more."
と言ってるとこを指してるなら
「セキュリティ関係の奴らと言い争おうとしてるわけじゃない。奴らは理論的に起こり得ることを心配してるんだけど、ひどいことが現実に起こったということは我々は聞いちゃいない。だけど、このソフトはシステムの中に置いとくべきものじゃないという点は同感だし、もっときちんと調査すべきだったことも認識している。」(概訳)と懸命に弁明してると思う。
そもそもこういうソフトが入っていそうだと思って私は買って来なかったけど。そういう人はそこそこ居ると思う。
Re:企業体質 (スコア:2)
http://blog.livedoor.jp/blackwingcat/archives/1892927.html [livedoor.jp]
それをネタにしたうちのブログにも
『隣に座ってるオーストラリア人に言わせると「議論の余地なく問題」との意味だと言っています』
とのタレこみがあったんですが、
not try to get ~ はちょっと否定的な言い方にも使うらしい事と、"mans" (男の人たち) ではなく "guys"(やつら) を使ってる辺りや
後ろのネガティブな内容を考慮すると「セキュリティ関係者どもの余計なお世話だろ?」みたいなニュアンスになるかなぁという感想
マイクロソフト様 (スコア:1)
悪意あるソフトウエアの駆除ツールに登録お願いします。ついでといってはなんですが、マイクロソフト純正以外のソフトを一括削除してクリーンな状態にできるオプションもつけてくれるとありがたいんですが。
Re:マイクロソフト様 (スコア:2, 参考になる)
マイクロソフト純正以外のソフトを一括削除してクリーンな状態にできるオプションもつけてくれるとありがたいんですが。
やべぇ、超欲しい機能だわ。Windows 8.1のリフレッシュ機能を拡張して実装してくれんかな。
実際MicrosoftもこれまでCrapWareで迷惑してるだろうしOEMに対して強権発動してもユーザーからは支持されるだろう。
あと編集はこれ↓を関連に入れないのが解せない。
「Crapware」を最も多くインストールしてくる PC メーカーは?
http://it.srad.jp/story/09/11/02/0032253/ [srad.jp]
/.Jer の経験上、crapware の多いメーカーはどこだろうか? ちなみに本家ではLenovoに軍配があがっている模様。
これに関する正直な感想 (スコア:0)
気持ち悪い
Re: (スコア:0)
わりと予想通りだったかな
Lenovoだもん
Re: (スコア:0)
NHKニュース
http://www3.nhk.or.jp/news/html/20150220/k10015615281000.html [nhk.or.jp]
> レノボの日本法人は「調査したところ、情報流出などセキュリティー上の危険性は見つからなかった。しかし、利用者の懸念を招いたことは反省している」
どんな調査なんだと言わざるを得ない
Lenovoと聞いて納得 (スコア:0)
プリインストールのSuperfishとやらを今更削除しても、正直一体何の対策になるのかわかりませんね。それにしても、キーロガー騒動以来も中国Lenovoに渡ったThinkシリーズを、購入ないし使用すると決めた信者(ユーザー)の心境を知りたい。
# 別に自分から積極的に捧げるつもりで信者をつづけているのであれば否定しない。それはそれで尊敬すらする(但し呆れを通り越して、という意味で)。ただ、そういうのを知らずに・目をそらしつづけて来たなら、それはただのお馬鹿さんと言わざるを得ない。
Re: (スコア:0)
改宗・転向者が相次いでいるでしょうね
自分もIBM売却頃の古いThinkPadは持っているけど現行モデル買うなんて自殺行為できませんよ
Re: (スコア:0)
あちこちの記事で既に Think シリーズはプリインストール対象外って報じられてるのに困ったものですね ;-p
Re: (スコア:0)
脳内自己完結してる人達にはいくら言っても
Lenovoは信用できない→Think シリーズは対象外って報じられてるよ→LenovoだからThink シリーズも信用できない→だから対象外だって→信用できない、ThinkPadにも入ってるはず、信者ざまあ
となるだけなので無駄じゃないかなと。
Re:Lenovoと聞いて納得 (スコア:4, すばらしい洞察)
問題なのは事故証明局まで入れて事実上の中間者攻撃ソフトを入れ、
今なおユーザーの為だったとか強弁してる会社の体質だろうに。
ThinkPadに入っていなかったからOKとかアホか。
Re: (スコア:0)
だってかわりがないんだもん
Re: (スコア:0)
>だってかわりがないんだもん
結局そこに行き着くのよね。代わりがない。
Re: (スコア:0)
正直なところ、ここ最近のLenovoはまったく信用できないので
赤ポッチ+英語キーのまともなノートがあれば、そっちに行くんですけどね。
ポッチがついてる他社ノート触ってみたけど、なんか動きが違うんです。
Re: (スコア:0)
中華ソフト・ハードはスパイウェア・マルウェアの温床だという事例がまた一つ増えたな
Re: (スコア:0)
NECとThinkPadは大丈夫だったんだってな
Re:Lenovoと聞いて納得 (スコア:1)
NECはJword入れてただろう
(もうやってないか)
Re:Lenovoと聞いて納得 (スコア:2, 興味深い)
Letsnoteなら大丈夫、と思ったらKingsoftの辞書が入ってたっけ(今はどうか知らない)。
プリインストールじゃなくて「必要ならこのインストーラをクリックしてね」だったけど。
わざわざ国産品選んでいるのに残念だった。
デバイスドライバも台湾製や中国製がほとんどでアプリだけ気にしても仕方ないのだろうけど、
避けられる範囲で避けたいのが心情というもの。
結局、コンシューマ向けとOEMはどこを選んでもリスクあると思う。
この手のリスクを避けるなら
・ハードウェアとOSの販売元が一致しているメーカーを選ぶ(AppleかMicrosoft)
・構造上プリインストールが難しい機種を選ぶ(Chromebook)
・ビジネス向けの窓口からビジネス向け機種を買う
・自作(Intelなど、ドライバの出処や署名が信頼できるメーカーを選ぶ)
あたりだろうか。
Lenovoのコメント (スコア:0)
「我々はこのテクノロジーを徹底的に調査しましたが、セキュリティ上の懸念を実証するいかなる証拠も見つかりませんでした。」
ってのが、我々は無能の集まりです、と言っているようにしか読めない。
言い訳のテンプレではあるんだろうけど、使いどころを考えないと。
# 技術も広報も無能
じゃあ、レノボ社内のパソコンに入れてくれ (スコア:0)
セキュリティ上の懸念がまったくないなら、入れっぱなしでも全く問題ないよな?
もちろん、対応策を一切入れちゃだめだよ。
Re: (スコア:0)
その直後の文章を無視するのは悪意を感じますね。
。しかし我々はお客様がこの件に懸念を抱く反応を示されたことを承知しており、
まあ、言い訳にすぎないが・・・
Re: (スコア:0)
その一言が、セキュリティについての知識がないという事を打ち消す要素になる理屈が見えないのですが、ご説明いただいてもよい?
知ってた (スコア:0)
というのは冗談ですが、中華企業になった時点で疑い続けてきました。
だからmiix2 8が魅力的でも手を出さなかった。
Lavieも同様の扱いです。
今回の件で疑いが確信に変わりました。
もうレノボとLavieは絶対に買わない。
Re: (スコア:0)
Miix 2 8ユーザですが、このソフトは入っていませんでした。
Re: (スコア:0)
Lavie Zにも入っていませんでした。
まったく問題なし (スコア:0)
lenovoの製品は納品されたらすぐにHDDまたはSSDを速攻で入れ替えるので問題ないです。
ファームウェアに書き込まれているのならいざしらず、何か問題があるのでしょうか。
いまどきlenovoを導入するのならそれぐらいするべし。
Re: (スコア:0, フレームのもと)
釣りだよね?
そもそも (スコア:0)
ノートPCはゴミ以下のプリインストールソフトが多すぎる
こればっかりは何年たっても改善されない
いい加減OS無しで売ってくれれば・・・
いや、そうなるとドライバに紛れ込ませるだけか