背景
昨年夏ごろから出荷されたパソコンの一部にSuperfishというソフトが導入されておりこのソフトがセキュリティ的に問題となっている。
出典:レノボ社Superfishに関する見解
⇒http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml
何が問題なのか
Superfishは導入されたパソコンのSSL通信を傍受する機能を持っているようでこの内容を使って広告塔のj表示を使用としていたようです。
SSL通信は判り易く言うとパソコンとサーバーの間のデータのやり取りを暗号化する仕組みでインターネットでクレジットカードや銀行預金の操作をするシステムに必要不可欠な仕組みです。
この仕組みのおかげでインターネットという公の網の中でも安心してクレジットカードの番号や暗証番号を入力できるのですがその内容を強制的に傍受する機能をもったソフトが導入されてしまっていたようでこんなことが日常的に起こればインターネットでの決済が出来なくなってしまいます。
イメージで見ると
・こちらが通常の場合
・こちらが今回問題となっているパターン
この図はセンセーショナルに銀行預金の例で書いていますが今回の例は詐欺まがいの行為ではなくデータを分析して広告を表示することが目的だったようです。
ただこのSuperfishはソフトとしての出来が良くなくて容易に第三者がデータを取得することが出来る様ですので最悪図のようなことが起こる可能性が有ります。
暗号化通信で良く使われるのはVPNと呼ばれる機能とこちらのSSLですがVPNは専用ソフトを導入する関係で今回のような問題は起こり難いのですがソフトを導入して設定が必要なため用途が限られていて主に企業内の暗号化通信などに利用されています。
SSLは特別なソフトは必要ないのでコンシューマー向けのサービスでは一般的にこちらの機能が利用されています。
その機能を打ち破るソフトが導入された状態で出荷されてしまったことが今回大きな問題となっています。
現在の状況
レノボ社によれば現在は該当ソフトは未導入の状態で出荷されており付属ソフトに関しても必要最小限の状態にしているようです。
また、アンインストール方法やシマンテックなどのセキュリティ会社と協力してウイルスソフトでの対策も行っているようです。
Superfishが搭載されて出荷されたモデル以下の通りです。
このモデルを使用している方は以下のレノボのページを参照して必ずチェックしましょう。
- G シリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U シリーズ U330P, U430P, U330Touch, U430Touch, U530Touch
- Y シリーズ: Y430P, Y40-70, Y50-70
- Z シリーズ: Z40-75, Z50-75, Z40-70, Z50-70
- S シリーズ S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- Flex シリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX シリーズ: MIIX2-8, MIIX2-10, MIIX2-11
- YOGA シリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E シリーズ: E10-30
(注)本ステートメントはレノボ本社の英文を翻訳したものであり、対象機種には日本で発売されなかったモデルも含まれます。
今回の感想
SSLに関してはVPNと比較して使い方によってはセキュリティ面で弱い部分が有ると認識していましたがまさかパソコンにプリインストールされているソフトがそのようなふるまいをするとは夢にも思っていませんでした。
なぜならここを破ってしまうとパンドラの箱と同じで全てのことが信用出来なくなってしまうからです。
これまでは怪しいソフトを導入しないというのが一番良い方法だと考えていましたがそれも通用しない状況になってしまったようです。
企業でパソコンを導入する際は実際に使用するソフト以外は削除するのが一般的ですし、レノボもビジネス用のモデル(XやTなど)には導入していなかった様なので企業では若しかしたらあまり問題になっていないのかもしれません。
ただし、個人だといちいちソフトを消す人はまれだと思いますので大きな問題のような気がします。
これからは企業内でパソコンを導入するように不要なソフトはすべて消すという作業が必須になってくるのかもしれません。
コメント