LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった!

Lenovoは今日(米国時間2/18)、同社の消費者向けPCの全機種に重大なセキュリティホールが見つかるという、煮え湯を飲まされた。

Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。

今Lenovoにコメントを求めているが、まだ得られていない。

The Next Webの記事によると、1月にLenovoの社員のMark Hopkinsが、ある顧客のフォーラム上で、Lenovoが‘ヴィジュアル検索’企業のソフトウェアをプレロードしているのでは、という顧客からの嫌疑を確認している。そのときの彼の説明によると、そのソフトウェアには“ある問題が”あるので、“一時的に削除された”、という。その問題には、勝手に出現するポップアップも含まれていたようだ。Superfishに対して、市場に存在する既存のデバイスに対するアップデートを要請した、と彼は付け加えていた。

プレインストールは消費者に不評である。当然ながら彼らは、買ってきたばかりのデバイスがクリーンであることを求める。しかし一部のハードウェアメーカーは、そういうことをやってお金を稼いでいる。Superfishには、ブラウザにポップアップすることや、アンインストールする必要性などの面倒ばかりでなく、自分で署名してrootになりすまし、ユーザのWebブラウザからデータを集める、という深刻なセキュリティの脅威があるらしい。

さらにまた、サードパーティはSuperfishの証明キーを生成して、その悪質極まりない行動を自分のために利用できる。HackerNewsが、そのことを指摘している

銀行利用のためのパスワードや振込用の暗証番号などの個人データがいちばん心配だが、すでにSuperfishの問題がたくさんツイートされている中には、下図に示すような、bankofamerica.comの証明のなりすましという深刻な例もある。こういうことが、できてしまうのだ。

さらにまずいのは、Superfishのソフトウェアを削除しても、Lenoveのマシンから証明は(したがって脅威は)削除されないことだ。

Hopkinsは、PCに最初から組み込んだSuperfishにできることと、できないことを、次のように説明している:

Superfishの技術はコンテキストと画像だけを利用し、ユーザの行為行動は利用しない。すなわちそれは、ユーザの行為行動をプロファイリングしたり、モニタしたりはしない。ユーザ情報を記録しない。ユーザが誰であるかを関知しない。ユーザは追跡されないし、リターゲットされない。各セッションが独立で、他のセッションに/からデータを受け渡ししない。

しかしそれでも、ユーザのデータとセキュリティが危険にさらされているという事実が、Lenovoの顧客やセキュリティのエキスパートたちのあいだで警報として伝搬している現状は、すごく正当である。

なお、イギリス政府の諜報部門MI5とMI6は、同部門内におけるLenovo製品の使用を禁止した、と報じられている。ハッキング被害に遭いやすい、という脆弱性がその理由だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。