1: ゆでたてのたまご ★ 2015/02/20(金) 22:43:17.76 ID:???.net
Lenovo製品にマルウェア搭載で同社が対策を開示
【Impress Watch】 (2015/2/20 12:42)
2014年9月から12月にかけて出荷されたLenovo製コンシューマ向け製品に「Superfish」と呼ばれる
セキュリティ上問題のあるソフトがプリインストールされていたことが明るみに出た。同社は2月19日(米国
時間)付けで、現在ではその搭載を停止していることを発表するとともに、プリインストールされていた場合の
対策を開示した。
Superfishは、Lenovoによれば、「オンラインショッピングを行なう際に、ユーザーが興味ある製品を
みつけるのを手助けするソフト」とされ、一時期の製品に搭載されていた。だが、このソフトは、自身で署名し
ローカルに保存したルート証明書を使って、HTTPS通信を傍受することから、暗号化通信に甚大な脅威を
もたらす脆弱性がある。
Superfishの挙動は一般的に悪意のあるマルウェアと呼ぶに相応しいものだが、同社の見解は「我々は
本アプリケーションを徹底的に調査しましたが、セキュリティ上の懸念を実証するいかなる証拠も
見つかりませんでした。ユーザーのフィードバックがポジティブなものでなかったため、迅速にその対応を
しました」という自己肯定的なもので、ユーザーに対する謝罪は見受けられない。
同社は1月の時点でSuperfishのプリインストールを停止しており、サーバーとの通信も遮断。今後、同ソフトを
プリインストールをすることはないとしている。
対象となる製品は、G/U/Y/Z/S/Flex/MIIX/YOGA/Eシリーズと、コンシューマ向けのPC、タブレットの
大多数だが、ThinkPadシリーズは含まれない。
ソフトは「プログラムのアンインストールと変更」から通常の手順でアンインストールできるが、これだけでは
ローカルのルート証明書は削除されない。「コンピューター証明書の管理」から、「信頼された
ルート証明機関」→「証明書」と開き、「Superfish,Inc.」を削除する。
【13時40分追記】記事掲載後に英文の見解が大幅に変更され、
「We apologize for causing any concern to any users for any reason-and we are always trying to learn from experience and improve what we do and how we do it.」(我々は、
どのような理由であれ、全てのユーザーに対して引き起こした全てのご迷惑に対して謝罪します。また、我々は
常に経験から学習し、我々が行なうこと、およびそのやり方を改善していきます)との追記がなされた。
加えて同社は、今後数週間かけて問題を再調査し、パートナーおよび業界のエキスパート、ユーザーと
話し合いを行なっていくほか、2月末までに、さらなる対策を発表するとしている。
また、ThinkPad以外にも、デスクトップ、スマートフォン、エンタープライズ向けサーバー/ストレージにも
このソフトがインストールされていないことを明記した。
【15時20分追記】この件に関して、NECとLenovoの両出資であるLenovo NEC Holdings B.V.の子会社となる
NECパーソナルコンピュータから、Superfishが同社の製品にプリインストールされたことは一切ないとの
コメントが得られた。
Superfish証明書の削除方法(画面は英語版)
ソース: http://pc.watch.impress.co.jp/docs/news/20150220_689306.html
引用元: http://r.2ch.sc/test/read.cgi/bizplus/1424439797/【Impress Watch】 (2015/2/20 12:42)
2014年9月から12月にかけて出荷されたLenovo製コンシューマ向け製品に「Superfish」と呼ばれる
セキュリティ上問題のあるソフトがプリインストールされていたことが明るみに出た。同社は2月19日(米国
時間)付けで、現在ではその搭載を停止していることを発表するとともに、プリインストールされていた場合の
対策を開示した。
Superfishは、Lenovoによれば、「オンラインショッピングを行なう際に、ユーザーが興味ある製品を
みつけるのを手助けするソフト」とされ、一時期の製品に搭載されていた。だが、このソフトは、自身で署名し
ローカルに保存したルート証明書を使って、HTTPS通信を傍受することから、暗号化通信に甚大な脅威を
もたらす脆弱性がある。
Superfishの挙動は一般的に悪意のあるマルウェアと呼ぶに相応しいものだが、同社の見解は「我々は
本アプリケーションを徹底的に調査しましたが、セキュリティ上の懸念を実証するいかなる証拠も
見つかりませんでした。ユーザーのフィードバックがポジティブなものでなかったため、迅速にその対応を
しました」という自己肯定的なもので、ユーザーに対する謝罪は見受けられない。
同社は1月の時点でSuperfishのプリインストールを停止しており、サーバーとの通信も遮断。今後、同ソフトを
プリインストールをすることはないとしている。
対象となる製品は、G/U/Y/Z/S/Flex/MIIX/YOGA/Eシリーズと、コンシューマ向けのPC、タブレットの
大多数だが、ThinkPadシリーズは含まれない。
ソフトは「プログラムのアンインストールと変更」から通常の手順でアンインストールできるが、これだけでは
ローカルのルート証明書は削除されない。「コンピューター証明書の管理」から、「信頼された
ルート証明機関」→「証明書」と開き、「Superfish,Inc.」を削除する。
【13時40分追記】記事掲載後に英文の見解が大幅に変更され、
「We apologize for causing any concern to any users for any reason-and we are always trying to learn from experience and improve what we do and how we do it.」(我々は、
どのような理由であれ、全てのユーザーに対して引き起こした全てのご迷惑に対して謝罪します。また、我々は
常に経験から学習し、我々が行なうこと、およびそのやり方を改善していきます)との追記がなされた。
加えて同社は、今後数週間かけて問題を再調査し、パートナーおよび業界のエキスパート、ユーザーと
話し合いを行なっていくほか、2月末までに、さらなる対策を発表するとしている。
また、ThinkPad以外にも、デスクトップ、スマートフォン、エンタープライズ向けサーバー/ストレージにも
このソフトがインストールされていないことを明記した。
【15時20分追記】この件に関して、NECとLenovoの両出資であるLenovo NEC Holdings B.V.の子会社となる
NECパーソナルコンピュータから、Superfishが同社の製品にプリインストールされたことは一切ないとの
コメントが得られた。
Superfish証明書の削除方法(画面は英語版)
ソース: http://pc.watch.impress.co.jp/docs/news/20150220_689306.html
4: 名刺は切らしておりまして 2015/02/20(金) 22:51:33.79 ID:Ru4TuhaV.net
NECブランドは大丈夫か?
14: 名刺は切らしておりまして 2015/02/20(金) 23:01:52.29 ID:A6b5Yowu.net
中華PCはやっぱり怖いな。
23: 名刺は切らしておりまして 2015/02/20(金) 23:18:57.68 ID:riZoLJIl.net
この程度の事は驚かないな
だからLenovo製品は買わないよ
だからLenovo製品は買わないよ
24: 名刺は切らしておりまして 2015/02/20(金) 23:21:50.22 ID:lvStk+54.net
NECが提携する前から、こうなるのは判りきってた。
それでもリスクを踏んだNEC経営陣の責任は重い。
それでもリスクを踏んだNEC経営陣の責任は重い。
28: 名刺は切らしておりまして 2015/02/20(金) 23:31:38.41 ID:I/nXH7av.net
つーことは、バイオもそうなるな
29: 名刺は切らしておりまして 2015/02/20(金) 23:34:17.26 ID:BtNuu+20.net
IBMも中国に買われたろ
31: 名刺は切らしておりまして 2015/02/20(金) 23:35:51.58 ID:+Sn7l4BO.net
HTTPSを傍受されるってクレカ処理、銀行とのトランザクション処理とか
筒抜けされる危険がある。企業とか大丈夫なのかw
たくさんのサービスに影響があるんでlinuxの脆弱性なんかよりこっちのほうが
大問題なんだが
筒抜けされる危険がある。企業とか大丈夫なのかw
たくさんのサービスに影響があるんでlinuxの脆弱性なんかよりこっちのほうが
大問題なんだが
37: 名刺は切らしておりまして 2015/02/20(金) 23:56:56.44 ID:ecvMtusv.net
言い換えれば
「次はもっと上手くやりますから」
ということだ
「次はもっと上手くやりますから」
ということだ
41: 名刺は切らしておりまして 2015/02/21(土) 00:05:07.92 ID:S4ZAJRcv.net
>>37
新しいバックドアを開発投入済みなので、今回の発表になったのですね
新しいバックドアを開発投入済みなので、今回の発表になったのですね
38: 名刺は切らしておりまして 2015/02/20(金) 23:59:14.09 ID:WvBx9MGQ.net
20年ほど前はみんなIBMの黒弁当箱持ってたな
43: 名刺は切らしておりまして 2015/02/21(土) 00:08:41.03 ID:kj4CIiAN.net
これ官公庁とか相当入り込んでるだろうな
使用禁止措置とか、納入禁止とか厳しくやらないと
使用禁止措置とか、納入禁止とか厳しくやらないと
46: 名刺は切らしておりまして 2015/02/21(土) 00:14:49.16 ID:95VyLBYr.net
レノボPCを買って不思議な事があったっけ…
誰も操作していないのに8から8.1にバージョンアップされたり、
同一ネットワーク内のPC名でユーザが作成されたり
何度アンインストールしても翌日にはシナ製ツールやゲームが復活したりと
不気味だったので、1年ほど電源入れてないわ
誰も操作していないのに8から8.1にバージョンアップされたり、
同一ネットワーク内のPC名でユーザが作成されたり
何度アンインストールしても翌日にはシナ製ツールやゲームが復活したりと
不気味だったので、1年ほど電源入れてないわ
48: 名刺は切らしておりまして 2015/02/21(土) 00:25:30.40 ID:R1QOmvrM.net
レノボPCでトレードやってるけどどうすればいいの
52: 名刺は切らしておりまして 2015/02/21(土) 00:33:22.29 ID:bJTFBOOo.net
>>48
中身をIBM時代のジャンク品に交換する
中身をIBM時代のジャンク品に交換する
56: 名刺は切らしておりまして 2015/02/21(土) 00:36:15.68 ID:KQ8I5Zmh.net
ThinkPadが懐かしい
62: 名刺は切らしておりまして 2015/02/21(土) 01:26:54.39 ID:zBGZZPTW.net
ちうごくとの間の海底ケーブルを切断するか、
金門ハックして全部のポートを永久遮断するのが
手っ取り早い解決策だと思う。
金門ハックして全部のポートを永久遮断するのが
手っ取り早い解決策だと思う。
69: 名刺は切らしておりまして 2015/02/21(土) 04:05:49.08 ID:065gvbrG.net
あぶない、あと3ヶ月PC換える時期がずれてたら、モロ当たってた。
運よく外れて入ってなかった。
運よく外れて入ってなかった。
71: 名刺は切らしておりまして 2015/02/21(土) 05:05:49.15 ID:TxPBNmg8.net
中国 レノボ(NEC)
米国 HP(東京で組み立て)、DELL(東南アジアで組み立て)、Gateway
日本 富士通(日本で組み立て)、東芝、ソニー、パナソニック(兵庫で組み立て)
米国 HP(東京で組み立て)、DELL(東南アジアで組み立て)、Gateway
日本 富士通(日本で組み立て)、東芝、ソニー、パナソニック(兵庫で組み立て)
75: 名刺は切らしておりまして 2015/02/21(土) 07:05:38.87 ID:eS/qigkK.net
ソフトバンクの携帯とTSUTAYA、ヤフー、Googleを常用してる俺様だけに、
レノボのタブレットを買うことについては何の躊躇もなかった。
レノボのタブレットを買うことについては何の躊躇もなかった。
77: 名刺は切らしておりまして 2015/02/21(土) 07:13:37.74 ID:nXZMP6lY.net
家買ったら盗撮カメラがついてました、みたいなもんだな
82: 名刺は切らしておりまして 2015/02/21(土) 07:41:50.36 ID:lh+CKveU.net
lenovoでthinkpad以外のゴミを買う方が悪い
84: 名刺は切らしておりまして 2015/02/21(土) 07:56:17.18 ID:dyKDnRD0.net
さすがは原産地中国共産党だけのことはあるな
ファーウェイ・ジャパン・デバイス - Huaweiはどうかな
ファーウェイ・ジャパン・デバイス - Huaweiはどうかな
90: 名刺は切らしておりまして 2015/02/21(土) 08:51:23.30 ID:aynV0ibw.net
自業自得だろw
中華メーカーなら当然
安いのには理由があるんですよ
中華メーカーなら当然
安いのには理由があるんですよ
96: 名刺は切らしておりまして 2015/02/21(土) 10:15:24.92 ID:O3Qs6Chf.net
ぼくのエイサーちゃんは大丈夫かしら
105: 名刺は切らしておりまして 2015/02/21(土) 10:47:22.36 ID:KfzK4Qk1.net
ThinkPadもVersaProも正直もう信用できないな
110: 名刺は切らしておりまして 2015/02/21(土) 11:11:18.46 ID:KfzK4Qk1.net
NECには悪いが、リスクは回避しないといかんよね(´・ω・`)
113: 名刺は切らしておりまして 2015/02/21(土) 11:35:17.26 ID:tnv/lgIP.net
最近投げ売りし始めたからおかしいと思ったんだよな
119: 名刺は切らしておりまして 2015/02/21(土) 12:12:21.28 ID:gqX94PH4.net
NECが入ってくるまではまともだったのになレノボ