レノボPCの人は今すぐココ開いてSuperfishの脆弱性にやられてるかどうかチェックしてください! 「Good, ~」って水色の文字で出たらセーフ。「Yes」はアウトなので後述の指示に従ってね。
レノボ製のほぼ全パソコンに工場出荷の段階で「セキュアな取引きまで傍受できる」とんでもないアドウェアがプリインストールされていたことが、同社フォーラムに寄せられた苦情多数で明らかになりました。
ソフトの名前は「Superfish」。グーグルの検索結果やサイトを開くとユーザーの許可なしにサードパーティー製の広告を挿入するアドウェアで、少なくともChromeやIEでは動作が確認されています。
広告挿入もひどいけど、問題はそれだけじゃありません。こやつ、自己署名証明書を自己発行して、偽のSSL証明書を生成し、SSL通信の中身まで覗けるようにする不届き者なのです。俗に言う「オレオレ証明書」。
それの何が問題なのか? セキュリティの専門家のKenn Whiteさんがこんな一例を紹介してますよ。
This is a problem. #superfishpic.twitter.com/jKDfSo99ZR— Kenn White (@kennwhite) Fepuary 19, 2015
そう、バンカメの銀行口座で行う操作も第三者に丸見えになっちゃうんです!
ソフトで発行した証明書を見てください。「issued to Bank of America(バンク・オブ・アメリカ宛てに発行)」された証明書の発行主が…なぜか「Superfish」になってます。本来ならここには信頼ある認証局のVeriSignなんかがこなきゃダメなのに。Superfishは閲覧データをチェックして広告会社に転送するソフトなので、こんな風にセキュアなコンテンツまでアクセスできるのは大・大問題なのでありますよ。
問題はまだあります。ユーザーやThe Vergeが書いてるように、このSuperfish、同じ秘密鍵を使ってマシンのルート証明書まで発行できるんです。
つまり、誰かにこの証明書の暗号鍵を破られたら大ピンチ。Superfishに毒されたレノボPC(現段階ではほぼ全台)が信頼する証明書も生成可能になって、持ち主に悟られないまま外から悪玉コードを植え付け放題できるということです。オーマイガッデスなんまいだー!
この問題が表面化したのは今年1月、Lenovoコミュニティ管理者のMark Hopkinsさんが同社フォーラムに残した「レノボはコンシューマシステムからSuperfishをとりあえず削除しました」という書き込みがきっかけでした。そんなものをなぜ出荷段階で入れたのかについては、Superfishは「ユーザーが製品を視覚で発見・理解するのを支援」し、「ウェブ上の画像を瞬時に分析し、同じ製品や類似品でもっと安い価格のものを表示する」ものだと書いて擁護してます。でも、ここまで問題が大きくなると、そうも言ってられなくなりますね。
ここまでの記事を米版で公開した直後に、証明書の暗号鍵はErrata Security社のRob Graham氏によってアッサリ破られてしまいました…。これにてSuperfish搭載レノボマシンはすべて攻撃対象に。繰り返しになりますが、レノボPC持ってる人は一番上のリンク先で今すぐ感染してるかどうかチェックしてくださいね! 今すぐ!
SuperFishの中に暗号化された秘密鍵が入っていた。SuperFishのstringの結果のテキストで解読機に流してパスワード発見。komodia。これでSuperFishの証明書は陥落された。本当の意味でおしまい。http://t.co/sRzXS9b2wP— 高梨陣平 (@jingbay) Fepuary 19, 2015
Lenovoからはこんな声明が出ましたよ。
・今年1月より、Superfishは全レノボ製品でサーバーサイドのインタラクションをすべて無効にしておりますので、もう有効ではありません。この措置は市場に出回っている全製品のSuperfishが対象です。・レノボは1月に、このソフトウェアのプリインストールを停止しました。・今後もプリインストールする予定はありません。
やれやれひと安心…て、Superfish込みのPCをもう買ってしまった人の問題解決には全然なりませんけどね。root証明書が脆弱だと、そこが外部からの侵入を許すウィークポイントになります。その問題は残ったままです。
もし一番上のリンク先で判定結果が「Yes」と出てしまった方は、 マシンのバックアップをとって、Windowsをクリーンインストールするか、あるいはレジストリを開いて問題の証明書を手動で削除することをおすすめします。
それにしても一連の騒ぎで最悪なのは、レノボの声明のこのくだりでしょう。
当社ではこの技術について徹底的に調査しましたが、セキュリティの不安を裏付ける証拠は何ひとつ見つかりませんでした。しかしながらこの問題に不安を訴えるユーザーがいることも承知しておりますので、このソフトウェアを搭載した製品はすべて出荷停止としました。
ウェブで証拠がこれだけ出回ってるときに、それはちょっと…。「Superfishは無効にした、新しく出荷されるPCには搭載されてない」とは言っても、その前に買った人は脆弱性を抱えたままなので、言葉をどう入れ替えても問題の深刻さが和らぐことはないと思いますよ。
source: TNW, The Verge
Jamie Condliffe - Gizmodo US[原文]
(satomi)
レノボ製のほぼ全パソコンに工場出荷の段階で「セキュアな取引きまで傍受できる」とんでもないアドウェアがプリインストールされていたことが、同社フォーラムに寄せられた苦情多数で明らかになりました。
ソフトの名前は「Superfish」。グーグルの検索結果やサイトを開くとユーザーの許可なしにサードパーティー製の広告を挿入するアドウェアで、少なくともChromeやIEでは動作が確認されています。
広告挿入もひどいけど、問題はそれだけじゃありません。こやつ、自己署名証明書を自己発行して、偽のSSL証明書を生成し、SSL通信の中身まで覗けるようにする不届き者なのです。俗に言う「オレオレ証明書」。
それの何が問題なのか? セキュリティの専門家のKenn Whiteさんがこんな一例を紹介してますよ。
This is a problem. #superfishpic.twitter.com/jKDfSo99ZR— Kenn White (@kennwhite) Fepuary 19, 2015
そう、バンカメの銀行口座で行う操作も第三者に丸見えになっちゃうんです!
ソフトで発行した証明書を見てください。「issued to Bank of America(バンク・オブ・アメリカ宛てに発行)」された証明書の発行主が…なぜか「Superfish」になってます。本来ならここには信頼ある認証局のVeriSignなんかがこなきゃダメなのに。Superfishは閲覧データをチェックして広告会社に転送するソフトなので、こんな風にセキュアなコンテンツまでアクセスできるのは大・大問題なのでありますよ。
問題はまだあります。ユーザーやThe Vergeが書いてるように、このSuperfish、同じ秘密鍵を使ってマシンのルート証明書まで発行できるんです。
つまり、誰かにこの証明書の暗号鍵を破られたら大ピンチ。Superfishに毒されたレノボPC(現段階ではほぼ全台)が信頼する証明書も生成可能になって、持ち主に悟られないまま外から悪玉コードを植え付け放題できるということです。オーマイガッデスなんまいだー!
この問題が表面化したのは今年1月、Lenovoコミュニティ管理者のMark Hopkinsさんが同社フォーラムに残した「レノボはコンシューマシステムからSuperfishをとりあえず削除しました」という書き込みがきっかけでした。そんなものをなぜ出荷段階で入れたのかについては、Superfishは「ユーザーが製品を視覚で発見・理解するのを支援」し、「ウェブ上の画像を瞬時に分析し、同じ製品や類似品でもっと安い価格のものを表示する」ものだと書いて擁護してます。でも、ここまで問題が大きくなると、そうも言ってられなくなりますね。
ここまでの記事を米版で公開した直後に、証明書の暗号鍵はErrata Security社のRob Graham氏によってアッサリ破られてしまいました…。これにてSuperfish搭載レノボマシンはすべて攻撃対象に。繰り返しになりますが、レノボPC持ってる人は一番上のリンク先で今すぐ感染してるかどうかチェックしてくださいね! 今すぐ!
SuperFishの中に暗号化された秘密鍵が入っていた。SuperFishのstringの結果のテキストで解読機に流してパスワード発見。komodia。これでSuperFishの証明書は陥落された。本当の意味でおしまい。http://t.co/sRzXS9b2wP— 高梨陣平 (@jingbay) Fepuary 19, 2015
Lenovoからはこんな声明が出ましたよ。
・今年1月より、Superfishは全レノボ製品でサーバーサイドのインタラクションをすべて無効にしておりますので、もう有効ではありません。この措置は市場に出回っている全製品のSuperfishが対象です。・レノボは1月に、このソフトウェアのプリインストールを停止しました。・今後もプリインストールする予定はありません。
やれやれひと安心…て、Superfish込みのPCをもう買ってしまった人の問題解決には全然なりませんけどね。root証明書が脆弱だと、そこが外部からの侵入を許すウィークポイントになります。その問題は残ったままです。
もし一番上のリンク先で判定結果が「Yes」と出てしまった方は、 マシンのバックアップをとって、Windowsをクリーンインストールするか、あるいはレジストリを開いて問題の証明書を手動で削除することをおすすめします。
それにしても一連の騒ぎで最悪なのは、レノボの声明のこのくだりでしょう。
当社ではこの技術について徹底的に調査しましたが、セキュリティの不安を裏付ける証拠は何ひとつ見つかりませんでした。しかしながらこの問題に不安を訴えるユーザーがいることも承知しておりますので、このソフトウェアを搭載した製品はすべて出荷停止としました。
ウェブで証拠がこれだけ出回ってるときに、それはちょっと…。「Superfishは無効にした、新しく出荷されるPCには搭載されてない」とは言っても、その前に買った人は脆弱性を抱えたままなので、言葉をどう入れ替えても問題の深刻さが和らぐことはないと思いますよ。
source: TNW, The Verge
Jamie Condliffe - Gizmodo US[原文]
(satomi)
※コメント投稿者のブログIDはブログ作成者のみに通知されます