1: 海江田三郎 ★ 2015/11/24(火) 10:16:28.30 ID:CAP_USER.net
http://www.itmedia.co.jp/enterprise/articles/1511/24/news048.html
米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、
11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、
HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。
問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。
同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。
不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。
さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。
Redditでこの問題を報告した別のユーザーは、Dellが出荷するノートPC全てに同じルート証明書と秘密鍵が搭載されていることが分かったと伝えた。
このユーザーはeDellRootについて、「Lenovoのコンピュータで発覚した『Superfish』と同様の問題があり、
Dellの顧客すべてを危険にさらす重大な脆弱性」に該当すると指摘した。この問題を悪用されれば、攻撃者が証明書を偽装して、
暗号化されたHTTPS通信に割り込むことが可能とされる。
別のユーザーもTwitterで、「Dellの顧客全てが全く同じCA(認証局)をマシン上に持っていることになり、
重大なセキュリティ上の懸念がある」と警告した。
これに対してDellは11月22日、Twitterのサポート用アカウントで同ユーザーに対し
、「eDellRootの存在理由について製品部門に確認する」と返答している。
引用元: http://anago.2ch.sc/test/read.cgi/bizplus/1448327788/
米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、
11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、
HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。
問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。
同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。
不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。
さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。
Redditでこの問題を報告した別のユーザーは、Dellが出荷するノートPC全てに同じルート証明書と秘密鍵が搭載されていることが分かったと伝えた。
このユーザーはeDellRootについて、「Lenovoのコンピュータで発覚した『Superfish』と同様の問題があり、
Dellの顧客すべてを危険にさらす重大な脆弱性」に該当すると指摘した。この問題を悪用されれば、攻撃者が証明書を偽装して、
暗号化されたHTTPS通信に割り込むことが可能とされる。
別のユーザーもTwitterで、「Dellの顧客全てが全く同じCA(認証局)をマシン上に持っていることになり、
重大なセキュリティ上の懸念がある」と警告した。
これに対してDellは11月22日、Twitterのサポート用アカウントで同ユーザーに対し
、「eDellRootの存在理由について製品部門に確認する」と返答している。
3: 名刺は切らしておりまして 2015/11/24(火) 10:20:53.50 ID:2JKJhun6.net
Dellなんて貧乏企業と満喫くらいでしか見かけんが
16: 名刺は切らしておりまして 2015/11/24(火) 10:42:06.52 ID:YjYUAKGx.net
>>3
法人用はコスパ高いぞ 物もサポートも個人用と違って結構いい
法人用はコスパ高いぞ 物もサポートも個人用と違って結構いい
5: 名刺は切らしておりまして 2015/11/24(火) 10:26:16.36 ID:eUDvI1gb.net
目的だろうな
場所によっては証明書入れないと動かない物も最近はあるし
どの道、dellからの報告待ちだろう
しかし、サポートすらそのような事を知らないと言う事は
意図的に伏せてたのか?
このような問い合わせがある事は想定できるだろうに
場所によっては証明書入れないと動かない物も最近はあるし
どの道、dellからの報告待ちだろう
しかし、サポートすらそのような事を知らないと言う事は
意図的に伏せてたのか?
このような問い合わせがある事は想定できるだろうに
8: 名刺は切らしておりまして 2015/11/24(火) 10:27:46.82 ID:0b+YNqlG.net
ユーザーサポートが中国にある時点でお察しだわ
もちろん電話口に出るのは、片言の日本語話す中国人
もちろん電話口に出るのは、片言の日本語話す中国人
14: 名刺は切らしておりまして 2015/11/24(火) 10:40:10.64 ID:QE4pBsHX.net
デルとレノボ
あとはヒューレット・パッカードだな
あとはヒューレット・パッカードだな
18: 名刺は切らしておりまして 2015/11/24(火) 10:48:58.63 ID:/3KBGU7J.net
DELLの個人向けパソコンのサポートは大連のシナ人がやってるからな
20: 名刺は切らしておりまして 2015/11/24(火) 10:51:32.47 ID:J6BUxgdM.net
簡単にばれるバックドア仕込んでるDell←(笑)
23: 名刺は切らしておりまして 2015/11/24(火) 10:53:20.29 ID:qQQZxH7r.net
中国生産で怪しいとは思ってたけど、やっぱりか。
もう、富士通かパナソニックかHPくらいかね…
もう、富士通かパナソニックかHPくらいかね…
29: 名刺は切らしておりまして 2015/11/24(火) 11:12:29.61 ID:sBZcuKPi.net
おなじDELL機同士の通信なら
すべて解読可能ってことだろw
つまり、DELLのPCを買って 銀行との通信を傍受すればいいだけの話w
これおいしいぞw
すべて解読可能ってことだろw
つまり、DELLのPCを買って 銀行との通信を傍受すればいいだけの話w
これおいしいぞw
34: 名刺は切らしておりまして 2015/11/24(火) 11:50:05.48 ID:lFoMfiis.net
デル、法人で買ってサポートはいいんだけど、
サポート使わざるをえない品質ってのかもう
サポート使わざるをえない品質ってのかもう
38: 名刺は切らしておりまして 2015/11/24(火) 12:43:36.12 ID:2ni49xAO.net
自分で組んでもマザーのバイオスにバックドアが仕込まれてたなんて事があったし、
マジでPC自体買うのが怖いね。
マジでPC自体買うのが怖いね。
44: 名刺は切らしておりまして 2015/11/24(火) 13:44:57.07 ID:CQqHLoRK.net
パソコンはHP
に限る
に限る
47: 名刺は切らしておりまして 2015/11/24(火) 14:01:15.90 ID:ND0fWT0r.net
OSを違法DLし自国政府や企業にハッキング攻撃を繰り返す無法国で
そのPCを製造するという史上最大のギャグ
そのPCを製造するという史上最大のギャグ
51: 名刺は切らしておりまして 2015/11/24(火) 14:14:43.43 ID:U9Pe5HQ+.net
詳しい人に聞きたいんだが、こういうのって簡単に消せるものなの?
あるいは一時的に効力を停止して、必要と分かった時点で
復活させる方が好ましいのかな。
それにしても怪しいルート証明書を発見・報告したのがナードさんとは。
あるいは一時的に効力を停止して、必要と分かった時点で
復活させる方が好ましいのかな。
それにしても怪しいルート証明書を発見・報告したのがナードさんとは。
54: 名刺は切らしておりまして 2015/11/24(火) 14:19:47.17 ID:f+ulYySS.net
レノボなんてまだ買ってるやついるのか
57: 名刺は切らしておりまして 2015/11/24(火) 15:45:55.51 ID:zPThrupY.net
NECもダメかな?
58: 名刺は切らしておりまして 2015/11/24(火) 16:26:59.57 ID:l6u0kgWZ.net
CIAか!
>に限る
Dell vs hp vs Lenovo
hpは真っ先に勝負をドロップアウトしたからなぁ
各分野のラインナップも一番貧弱だと思う
Dellは値段の割にスペック高めのグレードが多めだけど、こういうことやってたんか…