戻る

このページは以下URLのキャッシュです
http://japanese.engadget.com/2017/09/07/ftc-superfish-pc-3-8/


レノボがFTCと危険アドウェア「Superfish」入りPC出荷の件で和解。約3.8億円を支払い - Engadget 日本版

Sponsored Contents

malwareの最新記事

Image credit:

レノボがFTCと危険アドウェア「Superfish」入りPC出荷の件で和解。約3.8億円を支払い

なりすましなどのサイバー攻撃に繋がるリスクがありました

Kiyoshi Tane
8 時間前 in malware
103 シェア
0
103
0
0

連載

注目記事

人気記事


Lenovoは米連邦取引委員会(FTC)と、同社の数十万台のノートPCに危険なアドウェアをプリインストールして出荷した件につき、350万ドル(約3億8千万円)の和解金を支払うことで合意しました。

これはSuperfish社が開発した広告ソフトウェア「VisualDiscovery」により引き起こされたもの。米国32州が参加した2年半にわたる訴訟に、ようやくピリオドが打たれたことになります。

Superfishの通称としても知られているこのアドウェアは、Lenovo製一部PCのうち、2014年9月〜12月製造分に仕込まれて出荷。ユーザーがWebを閲覧する際にLenovoが意図する広告を勝手に挿入するという挙動をしました。

これだけでも十分に迷惑ですが、より深刻な問題は、盗聴や改ざん、なりすましなどを防止する暗号通信「SSL通信」の安全を保証するための認証局(CA)を偽造して内部に持っていることです。

SSL通信を行うWebサーバーは、暗号化のための「秘密鍵」とドメインごとの「証明書」を持っています。「証明書」はCAのお墨付きをもらっている一方で、ブラウザも信頼できるCAの一覧リスト=ルート証明書を持っています。このうちどれかが怪しければ、ユーザーに警告が発せられるわけです。

Superfishは、ブラウザとサーバーの通信を乗っ取り、PCそのものが偽造CAを信頼するようルート証明書を書き換えて出荷されていました。これにより暗号化も無効化されており、Webサーバから送られたHTMLデータに勝手に広告を表示させるjavaScriptを差し込めます。

事態はここで終わりません。Superfish内のCAが持つ秘密鍵は、全てのアドウェア入りLenovo製パソコンで共通です。つまり、そこから第三者が秘密鍵を取り出せば、理論上は全世界のどこでもサイバー攻撃が可能となる危険性があります。

実際にセキュリティ研究家の間では、Superfishがインストールされた環境では、 bankofamerica.com(バンク・オブ・アメリカ)のなりすましが可能なことも証明されていました。


さらにSuperfishを単純にアンインストールしても、偽造ルート証明書はパソコン内に残るため、脅威は去りません。
そうした事態から、後にLenovoから、証明書を含めて完全に削除できるツールが配布されました。これを使うことで証明書も含めた削除が可能です。

今回LenovoはFTCとの和解の中で、この種の広告ソフトをプリインストールする前には消費者の同意を得ることと、今後20年以上は消費者向けソフトを対象に包括的なセキュリティプログラムを実施することを同意しました。

今回の一件は、仮にPCメーカーに悪意がなかったとしても、ユーザーが意図しない広告ソフトなどの導入は、結果的に大きな負担がかかる......という例の一つとなりました。これを機に、アドウェアの徹底排除や抑止といった方向へ向かうことを祈りたいものです。

Source: Reuters
関連キーワード: adware, ftc, lenovo, malware, security, ssl
103 シェア
0
103
0
0

Sponsored Contents