Lenovoは自社製品にアドウェアをプリインストールして出荷しており、そこから悪意のある第三者が所有者の個人情報を盗むことも可能なことが米国メディアで大きな話題となっています。
Lenovoが1月に出荷したコンシューマ向けPCに標準でインストールしたソフトウェアに含まれていたアドウェアに脆弱性が発見されました。それによって、第三者はパスワード、ネット銀行情報、その他の個人情報を集めることができます。
Superfishというそのアドウェア・プログラムは、目的の広告を表示させるための仲介役として働くようです。
Superfishとは
Superfishはそれ自体で制限のないルート認証局としてふるまいます。そして、セキュアな接続がリクエストされれば常に偽物のSSL証明書を発行できるプロキシをインストールするようです。
SSL証明書は、ネットバンキングやショッピングサイトなどで使用され、そのサイトが実在することを証明します。ユーザーはそのサイトが「https://」で始まることを確認しそれが安全であると考えます。
Superfishは、それ自体がSSL証明書を生みだすことで、セキュアな接続であっても広告を表示させることを可能とします。そして、プライベートであるべきページからデータを読むことができます。
スポンサーリンク
専門家も指摘
実際、セキュリティの専門家は、VeriSignのようなルート認証局のふりをしてSuperfishがBank of Americaに証明書を発行していることを確かめました。
こうしたSuperfishの持つ能力は、ハッカーがセキュア接続で送信される情報にアクセスできることを意味します。
別の専門家がThe Vergeに話したところによれば、悪意のある人物が全てのLenobo製品が信頼するような証明書を作成したり、Lenovo製品が信頼のあるプログラムとみなしてしまうようなマルウェアを作成することも可能とします。
アンチウィルスソフトによっては、Superfishをアドウェアとして検知し、アンインストールすることを推奨しています。
Lenovoの見解
Lenovoは、1月にこのSuperfishを製品から取り除いたようです。しかし、そのソフトウェアが正当であるとし、個人情報を記録したりユーザーの行動をモニタリングしていないことを主張しました。
Lenovoは、そのプログラムの初回起動時に使用条件とプライバシーポリシーに同意するかどうかを確認しており、それを拒否するオプションがあると説明しています。
しかし、Lenovo製品の複数の購入者は、プログラムをアンインストール後もルート証明書を削除できないことを発見しています。
全米第4位の急成長企業
Superfish自体は、最近米国で最も早く成長している企業で第4位にランキングされました。どうもプログラムの名称であるとともに企業の名称でもあるようです。
そのプログラムは、ユーザーがブラウジング中に見ているイメージを分析し、それよりも価格の安いと思われる類似した製品を見つけるために7万店以上の店舗を見つけ出します。
Superfish社はビジュアル検索技術の先駆者であると自らを説明しています。
しかしながら、Lenovoユーザーは標準でこうしたプログラムがインストールされていることを非難しました。
Lenovoは現在その脆弱性を調査中とThe Vergeに回答しました。
追記:Lenovoが公式声明を発表。対象PCと削除方法を公開。
Source:Lenovo Community, The Verge, Neowin