Lenovoは今日(米国時間2/18)、同社の消費者向けPCの全機種に重大なセキュリティホールが見つかるという、煮え湯を飲まされた。
Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。
今Lenovoにコメントを求めているが、まだ得られていない。
The Next Webの記事によると、1月にLenovoの社員のMark Hopkinsが、ある顧客のフォーラム上で、Lenovoが‘ヴィジュアル検索’企業のソフトウェアをプレロードしているのでは、という顧客からの嫌疑を確認している。そのときの彼の説明によると、そのソフトウェアには“ある問題が”あるので、“一時的に削除された”、という。その問題には、勝手に出現するポップアップも含まれていたようだ。Superfishに対して、市場に存在する既存のデバイスに対するアップデートを要請した、と彼は付け加えていた。
プレインストールは消費者に不評である。当然ながら彼らは、買ってきたばかりのデバイスがクリーンであることを求める。しかし一部のハードウェアメーカーは、そういうことをやってお金を稼いでいる。Superfishには、ブラウザにポップアップすることや、アンインストールする必要性などの面倒ばかりでなく、自分で署名してrootになりすまし、ユーザのWebブラウザからデータを集める、という深刻なセキュリティの脅威があるらしい。
さらにまた、サードパーティはSuperfishの証明キーを生成して、その悪質極まりない行動を自分のために利用できる。HackerNewsが、そのことを指摘している。
銀行利用のためのパスワードや振込用の暗証番号などの個人データがいちばん心配だが、すでにSuperfishの問題がたくさんツイートされている中には、下図に示すような、bankofamerica.comの証明のなりすましという深刻な例もある。こういうことが、できてしまうのだ。
さらにまずいのは、Superfishのソフトウェアを削除しても、Lenoveのマシンから証明は(したがって脅威は)削除されないことだ。
Hopkinsは、PCに最初から組み込んだSuperfishにできることと、できないことを、次のように説明している:
Superfishの技術はコンテキストと画像だけを利用し、ユーザの行為行動は利用しない。すなわちそれは、ユーザの行為行動をプロファイリングしたり、モニタしたりはしない。ユーザ情報を記録しない。ユーザが誰であるかを関知しない。ユーザは追跡されないし、リターゲットされない。各セッションが独立で、他のセッションに/からデータを受け渡ししない。
しかしそれでも、ユーザのデータとセキュリティが危険にさらされているという事実が、Lenovoの顧客やセキュリティのエキスパートたちのあいだで警報として伝搬している現状は、すごく正当である。
なお、イギリス政府の諜報部門MI5とMI6は、同部門内におけるLenovo製品の使用を禁止した、と報じられている。ハッキング被害に遭いやすい、という脆弱性がその理由だ。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))