YANO's digital garage

Copyright ©YANO All rights reserved. https://www.bravotouring.com/~yano/

Last-modified: 2024-04-08 (月)

[一語一絵/IT系]

Superfishの脆弱性 / 2015-02-21 (土)

[External]LenovoのノートPCに不正なアドウェアというニュース。

Superfishの脆弱性
[External]Lenovo Support (JP)より

2014年9月から12月にかけて出荷された一般消費者向けLenovo製PCにプリインストールされていたアドウェア「VisualDiscovery(通称:Superfish)」にSSL通信を傍受する仕組みがあり、[External]電子証明書を利用したWebサイトにログインできない事があるそうだ。

[External]Lenovoの発表によると対象となるモデルは

Superfish may have appeared on these models:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45, G40-80
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70, Y40-80, Y70-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70, Z70-80
S Series: S310, S410, S40-70, S415, S415Touch, S435, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 Pro, Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11, MIIX 3 1030
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11, YOGA3 Pro
E Series: E10-30
という事で、ThinkPad、ThinkCentre、Lenovo Desktop、ThinkStation、ThinkServer および System x 製品には影響無い。

元々はGoogleの検索結果等に別の広告を挿入するアドウェアという事だったのだが、[External]Errata Security: Extracting the SuperFish certificateによると、「ローカルの信頼されたCAストアに自己署名証明書をインストールする」為の秘密鍵をプログラム内に保持している事がわかり、しかもたった10秒で"komodia"というパスフレーズが解読されてしまい、悪用し放題の大穴である事がわかったそうだ。

それって問題の本質は本当に「Superfish」なのかな…?と思ってたのだが、悪い予感は的中。

[External]ITmedia エンタープライズの記事にある

 この原因は、Superfishなど複数のアプリケーションに使われている「Komodia Redirector SDK」にあるという。同SDKを使ったアプリケーションでは、Webブラウザの証明書ストアにルートCA証明書がインストールされ、警告を表示させることなくすべてのWebトラフィックを傍受することが可能になる。

 影響を受けるベンダーには、LenovoやSuperfishのほか、Atom Security、KeepMyFamilySecure、Lavasoftなどを挙げている。
というのは[External]US-CERT[External]VU#529496 - Komodia Redirector with SSL Digestor fails to properly validate SSL and installs non-unique root CA certificates and private keysに基づく情報のようだ。

というわけで、取り敢えず皆さんWindows Defenderをアップデートして、速攻スキャンしましょう。

【参照】
●ギズモード・ジャパン http://www.gizmodo.jp/
レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴 2015年2月20日
●GIGAZINE http://gigazine.net/
Lenovo製PCのプリインストールソフトにサイバー攻撃の火種になる危険性 2015年2月20日
Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか? 2015年2月20日
レノボがSuperfish自動削除ツールを提供開始、WindowsDefenderも対応する見込み 2015年2月23日
●ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
LenovoのノートPCに不正なアドウェア、SSL通信を傍受 2015年2月20日
Lenovo、不正ソフトの削除ツール公開 他のアプリに影響も 2015年2月23日
●PC Watch http://pc.watch.impress.co.jp/
Lenovo製品にマルウェア搭載で同社が対策を開示 2015年2月20日
Lenovo、Superfishの自動削除ツールを提供開始 ~Microsoft、McAfeeと連携した脆弱性解除にも着手 2015年2月21日
●サポート http://support.lenovo.com/jp/ja
電子証明書を利用したWebサイトにログインできないについてのお知らせ
Superfishに関するレノボの見解
Superfishに関するレノボからのお知らせ(更新)
Superfishの脆弱性
Superfishのアンインストール方法
●Vulnerability Notes http://www.kb.cert.org/vuls/
VU#529496 - Komodia Redirector with SSL Digestor fails to properly validate SSL and installs non-unique root CA certificates and private keys
●Wikipedia http://ja.wikipedia.org/wiki/
Google Chrome
中間者攻撃