レノボ、PC製品に危険なアドウェア「Superfish」をプレロード--「1月より停止」と声明

Zack Whittaker (ZDNET.com) 翻訳校正: 編集部2015年02月20日 07時54分

UPDATE Lenovo製のデスクトップまたはノートPCを所有するユーザーは、「いかなる種類のセキュアなトランザクション」にも端末を使用してはならないと、専門家が警告を発している。Lenovoがアドウェアをインストールした恐れがあるためだ。

 2014年9月から2015年1月までの間に、Best BuyやAmazon.comなどの消費者向けのオンラインストアや小売店で販売されたLenovoブランドの端末は、セキュアなインターネットトラフィックを乗っ取るアドウェア「Superfish」に感染している可能性が高い。

 Defconのセキュリティ責任者としてセキュリティを研究するMarc Rogers氏は、ブログで同アドウェアの問題の範囲と規模を詳細に説明している。同氏は米ZDNetに対し、消費者は直ちに自分のコンピュータが感染しているかどうかを確認する必要があると述べた。

 「感染している場合は、(アドウェアが)削除されたことが確認できるまでそのコンピュータをいかなる種類のセキュアなトランザクションにも使用してはならない」と同氏は述べた。

セキュアなページの乗っ取り

 米ZDNet.comのChris Duckett記者は米国時間2月19日、Lenovoは、SSL/TLS接続を介したインターネットトラフィックを傍受して乗っ取ることのできるよう、自己署名証明書を発行するルート認証局をインストールしていたと報じた。

 Lenovoは広告企業Superfishと提携して、アドウェアを同社の消費者向けコンピュータにインストールした。このソフトウェアは、正規であると詐称するサイト証明書を利用することで暗号化されたサイト上に広告を表示できるようにする。Rogers氏のブログによると、このソフトウェアはセキュリティ基準を損ね、「ウェブを安全にするためのこの10年ほどの間の取り組みをまったく無駄にする」という。

 さらに19日、秘密鍵を公開したと主張する者も現れた。これにより、コーヒーショップ、自宅ネットワーク、または企業環境といった同じネットワーク上の任意のユーザーがウェブトラフィックを傍受できるようになる。

 Lenovoは声明で、2015年1月よりSuperfishの「プレロードを中止」したと述べている。同社は、販売済みの既存コンピュータにおいてこのアドウェアの動作を無効にする方法を公開した。

 Superfishの脆弱性にさらされているか心配な人は、推奨されている確認ツールを利用して自分の端末を確認することができる。

Microsoftの出番か

 Duckett記者が報じたように、Superfishを完全に削除するための確認済みの唯一の方法は、(Lenovo以外のイメージから)「Windows」を再インストールするか、まったく別のOSに変更することのようだ。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]