ピックワールド(PIC World)

インフォメーション

この記事は 2015年02月25日 に以下のカテゴリに投稿されました PC.

この記事のタグ

, , , , , , , , , , , , ,


レノボの Superfish 問題について、調べてみた件

Thinkpad といえば、ねぇ。堅牢な作りと信頼性で良いマシンだったはずなのですけどね。

これで完全に、おちたと思う。

lenovo - Superfish 問題

lenovo – Superfish 問題

今回、大騒ぎしている Superfish 問題について、実は該当者ではないのだけど、調べてみました。

まずは該当するマシン(PC)についてですが、2014年の9月~12月(一説によると2015年1月とも言われているがレノボの発表では12月)までに出荷された PC が該当するのだそうです。

問題の原因は、Lenovoは 広告企業 Superfish と提携して、アドウェアを同社の PC にプリインストール(購入するとインストールされていた状態)した状態で出荷しました。このソフトウェアは、偽造されたサイト証明書を利用し、暗号化されたサイト上に広告を表示できるようにするほか、PC のセキュリティに大きな影響を与えるソフトウエアでした。

なにが起こるのかというと Superfish は検索結果を変更してしまうので、全く関係のない広告を表示するように動作し、加えてコンピュータのセキュリティに手を加え、攻撃者がユーザーのブラウザトラフィックを探ることを使用ブラウザにかかわらず可能にしてしまいます。要するに傍聴されてしまうという事です。

そうなると、SSL / TLS 接続を介したインターネットトラフィックを傍受して PC を乗っ取ることも出来てしまうのです。

非常に危険な状態となるので、米国政府も動きだし、米国土安全保障省からも、Superfish ソフトウェアが「重大な脆弱性」をもたらすと警告し、レノボ製コンピュータから SuperFish を削除する手順も公開しています。

日本での影響もあります。(大変残念です)

レノボ・ジャパンでは、2015年1月までに日本で出荷された PC には、この Superfish がプリインストールされた状態となっているという事で、こちらのページに日本語で Superfish の削除方法を掲載しています。

削除の方法は2段階に分かれ、Superfish アプリケーションの削除と、偽造された証明書を削除する作業の2つを必ず行う必要があります。

Superfish アプリケーションの削除は、通常のアプリケーションと同様に、Windows のプログラムの追加と削除から行えばよいのですが、偽造された証明書については、それぞれのブラウザ(等)で使われている証明書を一つ一つ削除する必要があるので、手間がかかります。

– Internet Explorer
– Google Chrome
– Opera
– Safari
– Maxthon
– Windows 証明書ストアを利用するその他のブラウザ

レノボ・ジャパンでは、上記のブラウザ(等)が該当するであろうという事で、その方法について、解説を行っています。

レノボ・ジャパンでは、現在も Superfish がプリインストールされた PC が販売されているであろう事は認めていますが、回収などの措置をとる予定はなく、上記の方法で、ユーザーの手でアンインストールと証明書の削除をして欲しいとの事。

新しく買った PC でいきなりこんなことするなんて、どうかしてます。

加えて、この Superfish を削除する作業で、本当に大丈夫なのだろうかとの懸念も生まれてくるでしょう。

もしも自身の手元に該当の PC があったとしたら、まっさらな状態にするために、正規の Windows を新たにインストールする方法を提示して欲しいと思うだろう。

ちなみに、レノボ傘下の NEC パーソナルコンピュータから出荷された製品には、Superfish はインストールされていないといっています。

最初の話に戻りますけれど、以前のように輝いていた Thinkpad ではもうないので、今後は注意しましょう。

でもこれ、事の重大さとしては、根の深い悪質な内容のものだと個人的には思います。

※追記(2015年2月24日18:15) レノボ・ジャパンのページを確認したところ、『ソフトウェアと証明書を自動化するツールをリリースしました』との記述を発見。
でもこれ、『ソフトウェアと証明書の削除を自動化するツールをリリースしました』でしょうね。手間は省けるかもしれないけど、信用していいものかどうかね?
加えて、私たちは McAfee および Microsoft の2社と連係し、それぞれが提供する業界屈指のツールとテクノロジーを使って Superfish ソフトウェアおよび証明書を隔離・削除しようとしています。このアクションはすでに開始しており、このアクションにより、現時点で問題を認識していないお客様についても自動的に脆弱性が解消されます。
ユーザーの皆様から寄せられた使い勝手に関するご指摘を受け、私たちは1月時点で Superfish のプリインストール中止の指示を出し、サーバー接続もシャットダウンしています。しかしながら、セキュリティ面での潜在的な脆弱性については昨日まで認識しておらず、この点について深くお詫びいたします。私たちは現在、この問題の収束に向けて全力で取り組んでいます。と記載されています。
該当のページはこちらです。

これで根本的な解決とする気のようですね。注視が必要です。

※追記(2015年2月25日16:30)上記で指摘したレノボのページの誤りが、修正されている事を確認しました。

※追記(2015年2月25日18:00)重要な更新(KB3006137)がきたので、早いなと思いながらも内容を確認してみたら、本記事とはまった無関係で、リトアニア(どこだ?)の通貨記号をユーロから”Litas(Lt)”に変更するというものでした。(重要ではない感じ)
でも Superfish の証明書が PC に存在するかどうかを確認できるサイトが見つけたので、リンクを張っておきますね

 


2 Comments

コメントを残す

最近の投稿

最近のコメント

アーカイブ