パスワードを忘れた? アカウント作成
11926988 story
セキュリティ

Lenovoが中間者攻撃的な挙動をするアドウェアをプリインストールしていたことが明らかに 91

ストーリー by hylom
これはアウトだ 部門より
Jubilee 曰く、

Slashdotへのタレコミ:Malware Preloaded on Lenovo Laptopsより(元ネタのTechSpot記事)。

現時点ではフォーラムの数件の投稿とマイナーな技術系ニュース・ブログで報じられているだけだが、どうやら、いくつかのLenovoのノートPCには「Suprefish」というマルウェアがプリインストールされており、それを完全に除去するのが容易ではないらしい。

スクリーンショットを含むレノボフォーラムの記事の本題はSSLについてのものではないが、SSLコネクションを乗っ取る中間者攻撃かもしれないということを示している。

これがデマであるかないかを言うにはまだ早すぎるが、新しいシステムにこのマルウェアがインストールされていたという複数の投稿がある。

自分自身でクリーンなインストールディスクを作成し、ドライバをUSBメモリに入れるだけにするもう一つのよい理由になるだろう。

Superfishというマルウェアが出荷時からインストールされているという話ですが、それがTLSを乗っ取るというので、EngadgetTechCrunchでも話題になっているようです。

ZDNet Japanによると、Superfishは閲覧しているWebサイトに勝手に広告を埋め込むというアドウェアだそうだ。Superfishでは自己署名証明書をシステムにプリインストールしておくことで、HTTPだけでなくHTTPSを使用したサイトに対しても広告を埋め込めるようにしており、この証明書を悪用することで中間者攻撃が可能になるという。

Lenovo側はこれについて、2015年1月よりプリインストールは中止していると述べているという。この問題を解決するには、Superfishを削除するだけでなく、問題となっている証明書を削除する必要がある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年02月20日 20時02分 (#2764848)

    新品PCにこんなものが! - Geekなページ 2012/11/7 [geekpage.jp]

    これ見た時から作業している人が、マルウェアでもなんでもインストールし放題の管理体制なんだ。
    っと、思っていましたが、会社が率先して仕込むとは、、、

    > この事実を深刻に受け止め二度と同じようなことの起きぬよう、レノボ製品の製造工場に対し厳しい再発防止策を講じました。
    再発防止策を講じても、会社が業務として仕込むのは対象外なんですね。当たり前ですが。(^^;

  • by Anonymous Coward on 2015年02月20日 22時44分 (#2764945)

    http://d.hatena.ne.jp/nekoruri/20150220/superfish [hatena.ne.jp]
    このサイトの解説がとても分かり易かったです

  • by Anonymous Coward on 2015年02月20日 18時08分 (#2764775)
    • by Anonymous Coward

      昨年10月にT440s買ったけど入ってなかったな。
      Baidu IMEも入っていなかったし、Think何とかなら当分は信頼できる気がする。

      • by Anonymous Coward

        ドライバ大丈夫ですかね?
        プリインOS消してOSで入るドライバだけにしたら、レスポンス違うわ、変なIO発生しないわと。。
        質が落ちただけ?

        • by Anonymous Coward

          おっしゃるように、Lenovo謹製ツールで必要なもの以外入れない方が快適ですね。
          指紋認証関係とLenovo Settings以外は無くていいかな。
          Thinkpadは3年前より今の方が安定してると思います。
          タッチパッドが元に戻ったからT450sは人に薦めやすくなった。

  • by Anonymous Coward on 2015年02月20日 18時12分 (#2764778)

    Bug 1134506 - Mark "Superfish, Inc." root certificate as untrusted in NSS
    https://bugzilla.mozilla.org/show_bug.cgi?id=1134506 [mozilla.org]

  • タレコミの
    > Superfishでは自己署名証明書をシステムにプリインストールしておくことで

    は、間違いで、

    > 自己署名証明書を発行するルート認証局をインストールしていた (ZDNet)

    が正しいようだ。

    ああ、もしかしたら hylom によって、勝手に埋め込まれたってネタなのかもしれない。

    • 本家ベータの直訳をタレ込んだのですが、ご指摘の点はご想像のとおりです。元記事自体がかなり分かりにくくて英文としても破綻していたので、あのままではちょっと辛いクォリティでした。恐らくそれを直して補足する中でそうなったのでしょう。

      タレ込み時点では一部のセキュリティ関係者がツイッターで「英語圏で話題になっている」とコメントしている程度で、日本語情報がほとんどなく、でも「これはしゃれにならん」と。「オレオレ証明書」入りシステムが売られていたわけですから。

      元記事ではどうやら「リカバリーかけてもSuperfishが入っている」ということだったようで、「メーカー純正システムイメージが汚染されている」ということから「自前のクリーンなインストールディスクと別途入手のドライバを」という話になったようです。

      何にせよ、私の内部であの会社に対する信頼がついに木っ端微塵になってしまったのは確かです。持っているのはThinkPadですが、せめてVAIOみたいに会社レベルで分かれていないと、もうね。サーバーの商談が飛んでしまったとか、入札条件に「過去にセキュリティを低下させるソフトウェアを意図的にインストールした製品を出荷したことがないこと」という条件を追加されたりしたとか、あっても驚きません。

      --
      Jubilee
      親コメント
    • by Anonymous Coward on 2015年02月20日 18時40分 (#2764799)

      問題を大きくしているのは、それにプラスして、「CAの秘密鍵をプログラム内に保有しており、かつ全機器で共通だった」点ですね。これにより、当該CAで認証した証明書を誰でも偽造できるようになったということです。

      親コメント
      • 秘密鍵を持ってなきゃ、改竄後に返すものを署名できないですよ。秘密鍵自体はMITMに必須で、それをPC一台ごとに変えていなかったのが特徴。
        もちろん、こういうものを作ったり仕込んだりすることに倫理観がないというのは前提として。

        親コメント
        • by Anonymous Coward

          >それをPC一台ごとに変えていなかったのが特徴。
          この対策でもいいですが、それよりも外のサーバ(MITMする前)の認証を行うときにsuperfishのCAで署名されたものを弾くようにすべきでしたね
          たぶん作った人はセキュリティの知識がなんにもない or そもそもセキュアにする気がないのでしょう

      • by Anonymous Coward

        にわかには信じられないほどすさまじいな…。こんなことやられたら何も信じられないね。

  • by Anonymous Coward on 2015年02月20日 19時32分 (#2764826)

    「本ソフトウェアが、Superfishが意図したようにお客様のショッピング体験を向上させるものと私たちは考えていました。しかしそれはお客様の期待に応えるようなものではありませんでした。」

    見ているページを勝手に書き換えるのは、ショッピング以前の段階ではないんかい?本当のことを言いなさい。お金に目が眩んだんでしょう?広告が出るかわりにその分は値引きしていますというなら、インストールを中止したら値上げになるはずなのですが…

    「私たちは常に経験から学びながら、私たちが何をすべきか、どのように行うべきか、について改善を続けていく所存です。」

    なんだっけビスマルクの言葉だっけ、歴史から学ぶのが賢者で、経験から学ぶのは…

  • by Anonymous Coward on 2015年02月20日 20時19分 (#2764860)

    不具合はわかる
    壊れるのもわかる
    壊れたのを全部改修交換すると会社つぶれちゃうんで勘弁してください、というのもわからないでもない(あったよねー)

    しかし、こういう、最初から悪意をもった何事かを
    「世界で幾分以上もシェアをもってる会社」が行うというのが、
    理解も想像できない。修辞でなくて本気で。リスク高すぎ

    会社として小銭がほしかっただけとは思えない
    もののわかった人が皆無のわけもない
    少数の悪意の人間が裏金とかで無理押しした? あるかもだけどバレるぐらいわかりそう

    本当に想像できない。いつか知りたい思う

    • by Anonymous Coward

      いや大した悪意なんて無く「これならHTTPSにも広告差し込めるぜ!」と考えただけでしょ。
      広告を差し込める程度の悪意だからこそ、こんな事が出来る。

    • by Anonymous Coward

      悪意ではなく、ただの無知だったとしたら?

    • by Anonymous Coward

      党の命令でしょ。
      違うと言うなら、削除ツールを出せ。

  • by Anonymous Coward on 2015年02月20日 22時06分 (#2764926)

    http://blogs.wsj.com/digits/2015/02/19/lenovo-cto-were-working-to-wipe... [wsj.com]

    ウォールストリートジャーナル:
    セキュリティ研究者の懸念と乖離があるようだけど?

    レノボのCTO:
    そいつらと話すつもりはない。

    こんな会社です。

    • by Anonymous Coward on 2015年02月21日 0時20分 (#2765004)

      "We’re not trying to get into an argument with the security guys. They’re dealing with theoretical concerns. We have no insight that anything nefarious has occurred. But we agree that this was not something we want to have on the system, and we realized we needed to do more."
      と言ってるとこを指してるなら
      「セキュリティ関係の奴らと言い争おうとしてるわけじゃない。奴らは理論的に起こり得ることを心配してるんだけど、ひどいことが現実に起こったということは我々は聞いちゃいない。だけど、このソフトはシステムの中に置いとくべきものじゃないという点は同感だし、もっときちんと調査すべきだったことも認識している。」(概訳)と懸命に弁明してると思う。
      そもそもこういうソフトが入っていそうだと思って私は買って来なかったけど。そういう人はそこそこ居ると思う。

      親コメント
  • by Anonymous Coward on 2015年02月20日 22時19分 (#2764933)

    悪意あるソフトウエアの駆除ツールに登録お願いします。ついでといってはなんですが、マイクロソフト純正以外のソフトを一括削除してクリーンな状態にできるオプションもつけてくれるとありがたいんですが。

    • by Anonymous Coward on 2015年02月20日 22時28分 (#2764939)

      マイクロソフト純正以外のソフトを一括削除してクリーンな状態にできるオプションもつけてくれるとありがたいんですが。

      やべぇ、超欲しい機能だわ。Windows 8.1のリフレッシュ機能を拡張して実装してくれんかな。
      実際MicrosoftもこれまでCrapWareで迷惑してるだろうしOEMに対して強権発動してもユーザーからは支持されるだろう。

      あと編集はこれ↓を関連に入れないのが解せない。

      「Crapware」を最も多くインストールしてくる PC メーカーは?
      http://it.srad.jp/story/09/11/02/0032253/ [srad.jp]

      /.Jer の経験上、crapware の多いメーカーはどこだろうか? ちなみに本家ではLenovoに軍配があがっている模様。

      親コメント
  • by Anonymous Coward on 2015年02月20日 18時17分 (#2764781)

    気持ち悪い

    • by Anonymous Coward

      わりと予想通りだったかな
      Lenovoだもん

    • by Anonymous Coward

      NHKニュース
      http://www3.nhk.or.jp/news/html/20150220/k10015615281000.html [nhk.or.jp]
      > レノボの日本法人は「調査したところ、情報流出などセキュリティー上の危険性は見つからなかった。しかし、利用者の懸念を招いたことは反省している」

      どんな調査なんだと言わざるを得ない

  • by Anonymous Coward on 2015年02月20日 18時18分 (#2764782)

    プリインストールのSuperfishとやらを今更削除しても、正直一体何の対策になるのかわかりませんね。それにしても、キーロガー騒動以来も中国Lenovoに渡ったThinkシリーズを、購入ないし使用すると決めた信者(ユーザー)の心境を知りたい。

    # 別に自分から積極的に捧げるつもりで信者をつづけているのであれば否定しない。それはそれで尊敬すらする(但し呆れを通り越して、という意味で)。ただ、そういうのを知らずに・目をそらしつづけて来たなら、それはただのお馬鹿さんと言わざるを得ない。

    • by Anonymous Coward

      改宗・転向者が相次いでいるでしょうね
      自分もIBM売却頃の古いThinkPadは持っているけど現行モデル買うなんて自殺行為できませんよ

    • by Anonymous Coward

      あちこちの記事で既に Think シリーズはプリインストール対象外って報じられてるのに困ったものですね ;-p

      • by Anonymous Coward

        脳内自己完結してる人達にはいくら言っても

        Lenovoは信用できない→Think シリーズは対象外って報じられてるよ→LenovoだからThink シリーズも信用できない→だから対象外だって→信用できない、ThinkPadにも入ってるはず、信者ざまあ

        となるだけなので無駄じゃないかなと。

        • Re:Lenovoと聞いて納得 (スコア:4, すばらしい洞察)

          by Anonymous Coward on 2015年02月20日 21時48分 (#2764917)

          問題なのは事故証明局まで入れて事実上の中間者攻撃ソフトを入れ、
          今なおユーザーの為だったとか強弁してる会社の体質だろうに。

          ThinkPadに入っていなかったからOKとかアホか。

          親コメント
    • by Anonymous Coward

      だってかわりがないんだもん

      • by Anonymous Coward

        >だってかわりがないんだもん

        結局そこに行き着くのよね。代わりがない。

      • by Anonymous Coward

        正直なところ、ここ最近のLenovoはまったく信用できないので
        赤ポッチ+英語キーのまともなノートがあれば、そっちに行くんですけどね。

        ポッチがついてる他社ノート触ってみたけど、なんか動きが違うんです。

    • by Anonymous Coward

      中華ソフト・ハードはスパイウェア・マルウェアの温床だという事例がまた一つ増えたな

    • by Anonymous Coward

      NECとThinkPadは大丈夫だったんだってな

      • by Anonymous Coward on 2015年02月20日 20時03分 (#2764850)

        NECはJword入れてただろう

        (もうやってないか)

        親コメント
        • by Anonymous Coward on 2015年02月21日 10時39分 (#2765122)

          Letsnoteなら大丈夫、と思ったらKingsoftの辞書が入ってたっけ(今はどうか知らない)。
          プリインストールじゃなくて「必要ならこのインストーラをクリックしてね」だったけど。
          わざわざ国産品選んでいるのに残念だった。

          デバイスドライバも台湾製や中国製がほとんどでアプリだけ気にしても仕方ないのだろうけど、
          避けられる範囲で避けたいのが心情というもの。

          結局、コンシューマ向けとOEMはどこを選んでもリスクあると思う。
          この手のリスクを避けるなら

          ・ハードウェアとOSの販売元が一致しているメーカーを選ぶ(AppleかMicrosoft)
          ・構造上プリインストールが難しい機種を選ぶ(Chromebook)
          ・ビジネス向けの窓口からビジネス向け機種を買う
          ・自作(Intelなど、ドライバの出処や署名が信頼できるメーカーを選ぶ)

          あたりだろうか。

          親コメント
  • by Anonymous Coward on 2015年02月20日 19時51分 (#2764838)

    「我々はこのテクノロジーを徹底的に調査しましたが、セキュリティ上の懸念を実証するいかなる証拠も見つかりませんでした。」

    ってのが、我々は無能の集まりです、と言っているようにしか読めない。
    言い訳のテンプレではあるんだろうけど、使いどころを考えないと。

    # 技術も広報も無能

    • セキュリティ上の懸念がまったくないなら、入れっぱなしでも全く問題ないよな?

      もちろん、対応策を一切入れちゃだめだよ。

      • by Anonymous Coward

        その直後の文章を無視するのは悪意を感じますね。

        。しかし我々はお客様がこの件に懸念を抱く反応を示されたことを承知しており、

        まあ、言い訳にすぎないが・・・

        • by Anonymous Coward

          その一言が、セキュリティについての知識がないという事を打ち消す要素になる理屈が見えないのですが、ご説明いただいてもよい?

  • by Anonymous Coward on 2015年02月20日 20時42分 (#2764875)

    というのは冗談ですが、中華企業になった時点で疑い続けてきました。
    だからmiix2 8が魅力的でも手を出さなかった。
    Lavieも同様の扱いです。

    今回の件で疑いが確信に変わりました。
    もうレノボとLavieは絶対に買わない。

    • by Anonymous Coward

      Miix 2 8ユーザですが、このソフトは入っていませんでした。

    • by Anonymous Coward

      Lavie Zにも入っていませんでした。

  • by Anonymous Coward on 2015年02月20日 21時46分 (#2764913)

    lenovoの製品は納品されたらすぐにHDDまたはSSDを速攻で入れ替えるので問題ないです。
    ファームウェアに書き込まれているのならいざしらず、何か問題があるのでしょうか。
    いまどきlenovoを導入するのならそれぐらいするべし。

    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      釣りだよね?

  • by Anonymous Coward on 2015年02月20日 21時58分 (#2764920)

    ノートPCはゴミ以下のプリインストールソフトが多すぎる
    こればっかりは何年たっても改善されない
    いい加減OS無しで売ってくれれば・・・
    いや、そうなるとドライバに紛れ込ませるだけか

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...