UPDATE Lenovo製のデスクトップまたはノートPCを所有するユーザーは、「いかなる種類のセキュアなトランザクション」にも端末を使用してはならないと、専門家が警告を発している。Lenovoがアドウェアをインストールした恐れがあるためだ。
2014年9月から2015年1月までの間に、Best BuyやAmazon.comなどの消費者向けのオンラインストアや小売店で販売されたLenovoブランドの端末は、セキュアなインターネットトラフィックを乗っ取るアドウェア「Superfish」に感染している可能性が高い。
Defconのセキュリティ責任者としてセキュリティを研究するMarc Rogers氏は、ブログで同アドウェアの問題の範囲と規模を詳細に説明している。同氏は米ZDNetに対し、消費者は直ちに自分のコンピュータが感染しているかどうかを確認する必要があると述べた。
「感染している場合は、(アドウェアが)削除されたことが確認できるまでそのコンピュータをいかなる種類のセキュアなトランザクションにも使用してはならない」と同氏は述べた。
米ZDNet.comのChris Duckett記者は米国時間2月19日、Lenovoは、SSL/TLS接続を介したインターネットトラフィックを傍受して乗っ取ることのできるよう、自己署名証明書を発行するルート認証局をインストールしていたと報じた。
Lenovoは広告企業Superfishと提携して、アドウェアを同社の消費者向けコンピュータにインストールした。このソフトウェアは、正規であると詐称するサイト証明書を利用することで暗号化されたサイト上に広告を表示できるようにする。Rogers氏のブログによると、このソフトウェアはセキュリティ基準を損ね、「ウェブを安全にするためのこの10年ほどの間の取り組みをまったく無駄にする」という。
さらに19日、秘密鍵を公開したと主張する者も現れた。これにより、コーヒーショップ、自宅ネットワーク、または企業環境といった同じネットワーク上の任意のユーザーがウェブトラフィックを傍受できるようになる。
Lenovoは声明で、2015年1月よりSuperfishの「プレロードを中止」したと述べている。同社は、販売済みの既存コンピュータにおいてこのアドウェアの動作を無効にする方法を公開した。
Superfishの脆弱性にさらされているか心配な人は、推奨されている確認ツールを利用して自分の端末を確認することができる。
Duckett記者が報じたように、Superfishを完全に削除するための確認済みの唯一の方法は、(Lenovo以外のイメージから)「Windows」を再インストールするか、まったく別のOSに変更することのようだ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」