レノボ製品に脆弱性をもたらすアドウェア混入「Superfish」

レノボ製品の一部に深刻な脆弱性をもたらす可能性のあるアプリケーション(アドウェア、マルウェア)「Superfish」がプリインストールされている件が数日前から報道されています。

150222_lenovo_1

Lenovo製品にマルウェア搭載で同社が対策を開示
Lenovo製品にマルウェア搭載で同社が対策を開示 – PC Watch

2014年9月から12月にかけて出荷されたLenovo製コンシューマ向け製品に「Superfish」と呼ばれるセキュリティ上問題のあるソフトがプリインストールされていたことが明るみに出た。同社は2月19日(米国時間)付けで、現在ではその搭載を停止していることを発表するとともに、プリインストールされていた場合の対策を開示した。

 Superfishは、Lenovoによれば、「オンラインショッピングを行なう際に、ユーザーが興味ある製品をみつけるのを手助けするソフト」とされ、一時期の製品に搭載されていた。だが、このソフトは、自身で署名しローカルに保存したルート証明書を使って、HTTPS通信を傍受することから、暗号化通信に甚大な脅威をもたらす脆弱性がある。

スパイウェアは、OS上にソフトウェアで仕掛けられている物だけではなく、ハードウェアに組み込まれている物まであれやこれやの手口で仕掛けられていますね。先日はKasperskyがHDDのファームウェアに感染して情報収集を行うマルウェアを発見したと発表(スラッシュドット・ジャパン)なんてのもありました。

この手の疑いははっきりとクロが証明された訳ではないため、本当の所は不明のまま話がうやむやになってしまうのでいつも困ってしまうのですが、メーカー出荷時点でインストールされているのでは一般ユーザーにはどうにもならないかと。

かつてはバックドア疑惑も
150223_backdoor
レノボだけでは無く、HuaweiやZTEといった中国通信機器メーカーの製品は幾度となくバックドア疑惑が報道され、アメリカ、イギリス、オーストラリアなどでは重要施設からは除外されたのではないかと言う話もあり、本当の所は自分には分かりませんが曰く付きではあります。

先日、近所の区立図書館が一斉にPCの入れ替えをしていたのですが、見える所においてあるPCが全てLenovoのPCに入れ替わっており、おそらく国産メーカーよりも低価格なためにLenovoに決まったのだと思いますが、公な機関としてセキュリティも考えてせめて国産メーカーの安い奴でも買ってあげればいいのにな、と思う次第であります。

Superfishに関するレノボの見解(Lenovo)
Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか?(GIGAZINE)
Lenovo、Superfishの自動削除ツールを提供開始 ~Microsoft、McAfeeと連携した脆弱性解除にも着手(PC Watch)
Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。(piyolog)
LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった!(TechCrunch)

  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>