Latest evidence-based health information
Sitemap
Ipad

米国がレノボのPCからスーパーフィッシュを削除するよう警告を発令、CEOはスーパーフィッシュは安全だと主張

Otpoo
Otpoo xumh
米国がレノボのPCからスーパーフィッシュを削除するよう警告を発令、CEOはスーパーフィッシュは安全だと主張
米国がレノボのPCからスーパーフィッシュを削除するよう警告を発令、CEOはスーパーフィッシュは安全だと主張

多くの新しい Lenovo PC にプリロードされている危険なアドウェアの作成者である Superfish が、この件に関してようやく詳細な声明を発表しましたが、基本的には現実から目を背け、いかなる不正行為も否定しています。

SuperfishのCEO、アディ・ピニャス氏はPCWorldに送った声明の中で、Superfishは「Lenovoの顧客のオンラインショッピング体験を向上させる」ために設計されたビジュアル検索ツールであり、個人データは一切収集しないと述べています。しかし、広報的な話の裏には、ピニャス氏の声明から、Superfishが驚くほど無頓着な姿勢を取っていることが露呈しています。まず、ある時点での発言内容、そして重要でない点として軽視している点です。

まずは書かれているところから始めましょう。その文章は次のとおりです。

「一部のLenovo製ノートパソコンにプリインストールされていたSuperfishソフトウェアに関して、重大な誤情報が流布されています。一部のメディア評論家やブロガーによる虚偽の誤解を招く発言にもかかわらず、Superfishソフトウェアはセキュリティ上のリスクをもたらすものではありません。」

皮肉なことに、担当者からメールが届いたのとほぼ同時期に、米国コンピュータ緊急対応チーム(US-CERT)が公式アラートを発表し、多くのLenovoコンシューマー向けPCにプリインストールされているSuperfishアドウェアの重大な危険性について警告しました。US-CERTは、影響を受けるPCからSuperfishとそのルート証明書を削除することを推奨しています。

US-CERTは「ソフトウェアがすでにインストールされているシステムは、是正措置が講じられるまで脆弱な状態が続く」と警告している。

なぜでしょうか?それは、ここで起こっているより根深い問題、つまりピニャス氏の発言が軽視している問題だからです。

Appleでスーパーフィッシュが活躍 ミルズ・ベイカー

Superfish は Apple の Web サイトに広告を挿入しました。

Superfishアドウェアの根本的な問題は、顧客の行動を追跡しているかどうかではありません(LenovoとSuperfishはどちらも追跡していないと主張しています)。問題は、Webが暗号化されたHTTPS接続をますます採用するようになっていることです。Superfishは、安全なサイトに広告を挿入するために、中間者攻撃に相当する手法で暗号化されたHTTPS接続を妨害し、ユーザーとWebサイト間の信頼関係を損ないます。どのように?Windowsの奥深くに自己署名ルート証明書をインストールし、それを使って正規のWebサイトからのSSL証明書に再署名します。

さらに悪いことに、Superfishは影響を受けるすべてのLenovoシステムで同じ証明書を使用し、しかも脆弱で評価の低い暗号化方式を用いています。実際、セキュリティ研究者はすでにこの証明書の秘密鍵を抽出しています。ハッカーは、Superfishに仕込まれたこの衝撃的な脆弱性を悪用することで、影響を受けるLenovo PCのユーザーに対して容易に中間者攻撃を仕掛けることができます。

それはとても、とても、とても悪いことです。

ルートストアのスーパーフィッシュ クリス・パーマー

一部の新しい Lenovo PC の信頼されたルート ストアにプリインストールされている不正な Superfish 証明書。

ピニャス氏は「第三者によって意図せず脆弱性がもたらされた」と主張しているが、「Superfishソフトウェアはセキュリティリスクをもたらさない」と断言するのは全くもって衝撃的だ。ピニャス氏の主張は技術的には正しいものの(真の危険はSuperfishソフトウェア自体ではなく証明書にある)、レノボのPCに実装されたSuperfishが「セキュリティリスクをもたらさない」と断言するのは、極めて不誠実に思える。

幸いなことに、他のテクノロジー大手はすでにこの脆弱性を修正する動きを見せている。

Lenovoは1月にSuperfishソフトウェアの使用を停止しましたが、CTOはPCWorldに対し「私たちは失敗した」と反省​​し、影響を受けたPCからSuperfishを削除するツールを提供すると約束しました。まだそのツールは提供されていませんが、MicrosoftはWindows Defenderのアップデートを迅速にリリースし、WindowsのSuperfishアドウェアルート証明書を削除しました。ただし、 Firefoxの証明書マネージャーに保存されているSuperfish証明書は削除されません(Firefoxを使用している場合)。同様に、他のウイルス対策ソリューションの中には、Superfishをアドウェアまたは潜在的に迷惑なプログラムとして識別するものの、WindowsやFirefoxから不正な証明書を削除できないものもあります。

米国政府が推奨しているように、Lenovo PCからSuperfishアドウェアとその危険な証明書を完全に削除したい場合は、念のため、すべてを手動で削除するのが最善です。PCWorldのLenovo PCからSuperfishを削除するためのガイドが、まさにそのお手伝いをします。

ところで、Superfishの暗号化接続を危険にさらした証明書を作成したサードパーティ企業はどこでしょうか? Komodiaという会社で、他のプログラムにも同様に危険なルート証明書を仕込んでいます。良い週末をお過ごしください。

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.

Recommended Reading

Androidの創設者:カメラOSを作ることを目指した

Androidの創設者:カメラOSを作ることを目指した

Androidデバイスにタッチレスジェスチャーコントロールが登場

Androidデバイスにタッチレスジェスチャーコントロールが登場

CISPA監視法案:変更案は提案されているが、批判を鎮める可能性は低い

CISPA監視法案:変更案は提案されているが、批判を鎮める可能性は低い

You Might Also Enjoy

Nvidiaの最初のHDR G-Syncモニターは、基本的にPCディスプレイの聖杯です。

Nvidiaの最初のHDR G-Syncモニターは、基本的にPCディスプレイの聖杯です。

Androidデバイスにタッチレスジェスチャーコントロールが登場

Androidデバイスにタッチレスジェスチャーコントロールが登場

Androidの創設者:カメラOSを作ることを目指した

Androidの創設者:カメラOSを作ることを目指した

Popular Articles

BlackBerry Messengerが7月にWindows Phoneに登場
Androidの創設者:カメラOSを作ることを目指した
HTC One M9は今夜発売、SIMロック解除済みで649ドル
CISPA監視法案:変更案は提案されているが、批判を鎮める可能性は低い
インテル、マイクロソフト、そして無線通信事業者は、どのようにして「常時接続」PCの約束を最終的に実現するのでしょうか。

Categories

Trending Topics

Health Nutrition Fitness Wellness Mental Health Diet Medical Research