パスワードを忘れた? アカウント作成
11928694 story
ソフトウェア

Lenovo、Superfish削除ツールの配布を開始 49

ストーリー by headless
対応 部門より
あるAnonymous Coward 曰く、

LenovoのノートPCに「Superfish」というアドウェアがプリインストールされていた問題で、同社はこれを削除するツールを配布する予定を明らかにした(WSJ Digitsの記事本家/.)。

Wall Street JournalのインタビューでLenovoのCTO、Peter Hortensius氏は、削除ツールの完成後ただちに配布する予定であると語っている。このツールはSuperfishをアンインストールするだけでなく、影響をすべて消去するものになるという。配布方法などは今後プレスリリースで発表するとのことだ。

Superfishがもたらすセキュリティ上の危険性に関して、セキュリティ研究家との認識の食い違いについて指摘された同氏は、「セキュリティ研究家と言い争うつもりはない。彼らは理論上の懸念について論じている。我が社としては不正行為が発生したとは認識していないが、このソフトウェアがシステム上にあることが望ましくないという点には同意しており、一歩進んだ対応を取るべきとの結論に至った」と述べている。

Lenovoは21日(日本時間)、Superfish削除ツールの提供を開始した。また、McAfeeおよびMicrosoftと協力して、ウイルスチェック機能によりSuperfishのソフトウェアと証明書を自動的に削除または隔離できるように作業を進めているとのこと(ニュースリリース)。

なお、Errata SecurityのRobert Graham氏がSuperfishの証明書を抽出し、パスワードのクラックにも成功しており、パスワードが容易に連想できるものであることも判明している。これにより、攻撃者による悪用も可能となっている(Errata Securityのブログ記事本家/.)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年02月21日 13時24分 (#2765196)

    故意に入れてるわけだから、また違う手でこういうのを入れてきそうで怖い

  • by Anonymous Coward on 2015年02月21日 13時33分 (#2765199)

    こんなもん仕込む連中が提供する削除ツールですからねぇ…。

    > 我が社としては不正行為が発生したとは認識していないが
    船頭がこの有様ですし。

    • by Anonymous Coward on 2015年02月22日 10時38分 (#2765573)

      削除するついでにもっとばれにくい物を仕込むんじゃないかと。

      親コメント
    • by Anonymous Coward

      こんなもん仕込む連中が提供する削除ツールですからねぇ…。

      一応削除ツールのソースコードも公開されてるぞ。

      • by Anonymous Coward

        配布されるバイナリと同一のものとは限らない。

        • by Anonymous Coward

          自分でビルドしてバイナリのサイズを比較すれば良い。

          • by Anonymous Coward

            せめてハッシュを……

            # サイズもハッシュのサブカテゴリーと言えなくもないが。

          • by Anonymous Coward

            コンパイラのパッチの適用具合で出力オブジェクトが変わることはあるのでそれで判断するのはちょっと……。

            • by Anonymous Coward

              そもそもPEヘッダには「ビルド日付」とかの絶対変わる項目があるよ。
              だからそういうところを除外しないと、単純にハッシュで比較できない。

          • by Anonymous Coward

            自分でビルドできるのならビルドできた方を使え。

    • by Anonymous Coward

      レノボはポジショントークを勘違いしてんな
      時々認めてやらないとバランスが取れないのに

    • by Anonymous Coward

      SONY BMGもアンインストーラーでさらに炎上させてたねー
      http://srad.jp/story/05/11/16/1022259/ [srad.jp]

    • by Anonymous Coward

      Microsoft Safety Scannerでも使っとけよ
      http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.asp... [microsoft.com]

  • by Anonymous Coward on 2015年02月21日 13時49分 (#2765210)

    どうせ、わからないようになるだけでしょ?

    • by Anonymous Coward

      というより、いくつかある施策のうち、発覚したのがこれだけだと考えるべきかと

  • by Anonymous Coward on 2015年02月21日 14時26分 (#2765234)

    今回の件の教訓としてはルート認証局その他の証明書をきちんとチェックする事、だと思いますが、そんな面倒な事やっている人はいるんですか。
    確かにガラケー時代から証明書一覧みたいなメニューがあった事も考えると、自分の信頼できない認証局は無効化する事が正しいんでしょうが、ずらっと並んでいて大変面倒です。
    これってホワイトリストと比較するソフトがあったりとか、会社のセキュリティーポリシーで信用する認証局が決まっているとか、皆さん対策はきちんとされているんでしょうか。

    • by Anonymous Coward on 2015年02月21日 14時42分 (#2765244)

      基本的には信頼できるメーカーの製品を信頼するというスタイルです。
      だから今回の件でレノボは信頼できるメーカーから外れたってだけですね。

      親コメント
      • by Anonymous Coward

        対策もしっかりしたし、これで痛い目を見たんだから今後は二度と起こらないだろう。
        逆に今は一番安全なメーカーとも言えそう。

        • 反省してるならまだしも,「現実に問題はない」「アドウェアを入れたのはユーザーエクスペリエンス向上のため」
          みたいなことを言ってるわけで,二回目も有り得そうな態度なんですよね

          親コメント
        • by Anonymous Coward

          流石にこれはFlower garden in your head又は社員乙としか…

          • by Anonymous Coward

            私の頭の中にもお花畑があるが私のお花畑は猫の額より狭い。

        • by Anonymous Coward

          2001年くらいに知り合いのランサー好きが似たようなことを言っていたことを思い出した

        • by Anonymous Coward

          こんなことをしでかしてもシェアが落ちないようであれば、他のメーカーが同じようなことをしやすくなるのでレノボはもう買うべきではないでしょう。
          他の人が購入を検討している場合はこの件を示して購入を考え直させます。

        • by Anonymous Coward

          > 対策もしっかりしたし、これで痛い目を見たんだから今後は二度と起こらないだろう。

          二度と起こさない気になるぐらいに利益に影響が出なければまたやるんじゃないかな?
          そしてそれほど気にする必要はないと考えるだろう。
          「一部の人が騒いでいるだけですよ」って言われるだけ。

        • by Anonymous Coward

          それで2度とおこらないなら、今回のも起きてないはずなんですがね。
          レノボはついこの前、「baidu IME」プリインストールで同じスパイ行為がばれたばかりなのだから。

          そもそも「間違っていれた」のでなく
          「わざと仕込んでる」のだからばれても「もっと見つかりにくいのをしこんでくる」だけでしょうに

  • by Anonymous Coward on 2015年02月21日 16時36分 (#2765296)

    TシリーズとXシリーズには、さすがにSuperfishなんて入れてなかったようで。

    ってゆーか、ビッグデータかビッチデータか何かしらないが、自分のほしいものは自分で探せるので、
    余計なお世話はしないようにしてほしい。で、おまえらも俺に関わるな。

    計算機メーカーも、そういうことを明示しておけよ。おまえらのデータを集めるソフトいれていいかって。

    • by Anonymous Coward on 2015年02月22日 21時52分 (#2765849)

      TシリーズとXシリーズというか、Thinkpadは全部対象外です。

      http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml [lenovo.com]

      親コメント
    • by hidenori (519) on 2015年02月23日 10時12分 (#2765981)
      T420使ってるので念のためにチェックしてみたところ、 Superfish入っていませんでした。
      親コメント
    • by Anonymous Coward

      >TシリーズとXシリーズには、さすがにSuperfishなんて入れてなかったようで。
      superfishは入れてませんよsuperfishは(自称)

    • by Anonymous Coward

      個人的な印象ではTとXを選ぶユーザーは本気度高いというか開発とかインフラよりの人たちが多そうなので、こんなの入れるとすぐばれるとか考えたのかも。
      だとしたら余計たちが悪いですが。

      • by Anonymous Coward

        まぁ、基本、修復ディスク作って、再インストールだよね。手元のライセンス使って。
        なのでソフトウェアのプリインに関してはまぁ、そんなに気にしてないけど、
        ハードで同じようなトラップ作られてたらさすがに防ぎきれないなぁ。

  • by Anonymous Coward on 2015年02月22日 7時42分 (#2765552)

    過去には、Firefoxの拡張機能のひとつIETabにSuperfishの広告表示ソフトが組み込まれていたことがあったらしいです。Superfishが絡んでいる製品はすべてチェックし直した方がよいのではないでしょうか。

    http://kwski.net/handy/1091/ [kwski.net]

  • by Anonymous Coward on 2015年02月22日 9時58分 (#2765563)

    どの辺のアンチウィルスだと検出されるの?

  • by Anonymous Coward on 2015年02月22日 10時36分 (#2765572)

    消費者は自己防衛のためにPCを購入したらOSクリーンインストールしないとダメでしょうね。

    • by Anonymous Coward

      そしてノートPCメーカー製のドライバを入れる、と。

  • by Anonymous Coward on 2015年02月22日 10時41分 (#2765574)

    ではないのでしょうか。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...