Lenovo、コンシューマ向けに販売のノートPCにアドウェアを確認

  • 元記事:Superfishの脆弱性
  • 元記事:LENOVO STATEMENT ON SUPERFISH
  • HP:レノボ・ジャパン
  • 発表日時 2015/2/20

    Lenovoにて、コンシューマ向けに販売された一部のノートPCにSuperfishというアドウェアがプリインストールされているとして注意を呼びかけている。Superfishが起動する恐れがある該当製品はEシリーズのE10-30、FlexシリーズのFlex2 14, Flex2 15, Flex2 14D, Flex2 15D, Flex2 Pro, Flex 10、GシリーズのG410, G510, G710, G40-30, G40-45, G40-70, G40-80, G50-50, G50-45, G50-70, G50-80, G50-80Touch、Lenovo Edge 15、MシリーズのMiix2 – 8, Miix2 – 10, Miix2 – 11, Miix 3 – 1030、S シリーズのS310, S410, S415, S415 Touch, S435, S20-30, S20-30 Touch, S40-70、UシリーズのU330P, U430P, U330 Touch, U430 Touch, U540 Touch、YシリーズのY430P, Y40-70, Y40-80, Y50-70, Y70-70、Yoga シリーズのYoga2-11, Yoga2-13, Yoga2Pro-13, Yoga3 Pro、Z シリーズのZ40-70, Z40-75, Z50-70, Z50-75, Z70-80で、Superfishはブラウザに広告を表示させるソフトウェアであるが、SSLで暗号化された通信を傍受して暗号を解除する不正アドウェアで、中間者攻撃により暗号化通信の内容が傍受可能になる。さらにWebページにJavaScriptコードを仕込んで広告表示も可能になっている。Lenovoもこのソフトウェアの存在を確認し、プリインストールを中止した。また、既存ユーザに対してもSuperfishが通信するサーバー接続をシャットダウンしてSuperfishが動作しないよう無効化した。同社は、今後はこのソフトがプリインストールされることはないとしている。また、このソフトのアンインストールに関するオンラインヘルプを提供している。
    しかし、Superfishが広告表示に使用している方法はSSL通信の認証局(CA)の偽造で、Superfishは独自の認証局をソフトウェア上に持ち、独自の証明書を作成・発行し、しかも信頼できる証明書として認識されるよう設定してあるため、本来拒否されるはずの通信がアクセス可能となり暗号化機能が無効化される。さらに秘密鍵も公開されているため誰でも入手が可能なため、情報が簡単に窃取される状態になる。Superfishをアンインストールしても証明書がそのまま残るため、中間者攻撃により暗号化通信が盗聴される恐れがある。該当製品を使用している場合には、Superfishのソフトウェア削除の他に信頼されたルート証明機関の証明書として登録されているSuperfishの証明書を削除するよう呼びかけている。