Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Lenovoの一部端末にアドウェア - 不正な証明書が残存しないよう注意を

Lenovoが販売した一部端末に、サードパーティ製のプリインストールソフトとしてアドウェアが含まれていたことが判明した。

問題のソフトウェアは、米Superfishが提供するソフトウェア。ウェブ表示の際に広告を表示させるものだが、脆弱な証明書を用いて中間者攻撃(MITM)により暗号化通信の内容について傍受していた。

Lenovoによれば、同ソフトは2014年9月から2015年2月までの間に出荷されたコンシューマー向けノートパソコンの一部に含まれる。同社は、同ソフトを有効化するサーバへの接続を1月に中止し、プリインストールについても停止した。

同ソフトが含まれるのは、「Gシリーズ」「Uシリーズ」「Yシリーズ」「Zシリーズ」「Sシリーズ」「Flexシリーズ」「MIIXシリーズ」「YOGAシリーズ」「Eシリーズ」などで、ThinkPadシリーズや、デスクトップ、スマートフォン、エンタープライズ向け製品などへのプリインストールについては行っていないと同社は説明している。

また「Superfish」については、WindowsやFirefoxのルート証明書ストアに、秘密鍵が容易に手に入る脆弱な証明書をインストールしていたことが問題を大きくした。

「Superfish」をアンインストールしても、証明書はそのまま残存し、悪用することで、脆弱な通信を正規の暗号化通信に見せかけたり、中間者攻撃による暗号化通信の盗聴や改ざんなどに悪用される可能性がある。

Lenovoでは、削除ツールの提供やアンインストール方法についてアナウンスを行っており、各セキュリティベンダーでは、アドウェアとして対処している。Microsoftでは、Windows Defenderによって「Superfish」の駆除にくわえ、不正な証明書の削除にも対応した模様だ。

(Security NEXT - 2015/02/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

常時SSL化に向けてメモリ消費を抑える技術、IEEEで発表 - ペパボ研
全日空のiOSアプリに脆弱性 - 中間者攻撃受けるおそれ
2017年のフィッシング報告は前年から減少 - 誘導先URLは1.7倍に
CSAJ、データ消去証明書の発行事業を開始 - 対応ソフトやサービス事業者を募集
県立高校で指導要録の紛失が判明 - 愛知県
Intel Crosswalk Projectに脆弱性 - 不正証明書を許可すると以降検証せず
「Adobe Creative Cloud」デスクトップ版に3件の脆弱性
府立校9校で指導要録の紛失が判明、一部復元できず - 大阪府
ネットワン、業務利用クラウド向けにCASB - 「Slack」にも対応予定
ネットワーク対応学習リモコン向けAndroidアプリに脆弱性