気が向いたら何か書くtetのブロマガ

備忘録:lenovoショック~Superfishにご用心~

2015/02/23 22:58 投稿

  • タグ:
  • lenovo
  • ノート
  • PC
  • タブレット
  • アドウェア
  • Superfish
  • 証明書
  • SSL
  • TLS
  • 暗号化

●概要

 lenovoのノート PC・タブレットの一部でSSL証明書の不正利用が発覚
 IBMから引き継いだブランドのThinkPadシリーズはさすがにセーフですが
 安くて人気機種のGシリーズやスタイリッシュなYOGAシリーズなど
 ビジネス向け以外がほぼ総なめで犠牲となっています

 lenovoがお小遣いを稼ぐために広告を挟む手段として
 オレオレ証明書(しかもルートCA)をプレインストールしているため
 ネットバンクやネットショッピングでの
 暗号通信中にも広告が差し込まれます

 広告くらいいやという人もいるかもしれませんが
 暗号通信に割り込むということは
 IDやパスワード果てはクレジットカード番号までlenovoなどに筒抜け
 
 さらにこの独自証明書を悪用する第三者さえも
 無条件で信用してしまうという恐ろしい事態になっています
 
 下記の該当機種を利用中の方は早急な対処が必要です


●犠牲となったlenovoの該当機種

  ・Eシリーズ:E10-30
  ・Flex2シリーズ:14D、15D、14、15、14、15
  ・Flex10
  ・Gシリーズ:G410、G510、G710、G40-70、G50-70、
         G40-30、G50-30、G40-45、G50-45
  ・MIIXシリーズ:MIIX2-8、MIIX2-10、MIIX2-11
  ・Sシリーズ :S310、S410、S40-70、S415、
         S415Touch、S20-30、S20-30Touch
  ・Uシリーズ: U330P、U430P、U330Touch、U430Touch、U530Touch
  ・Yシリーズ:Y430P、Y40-70、Y50-70
  ・YOGAシリーズ:YOGA2Pro-13、YOGA2-13、YOGA2-11BTM、YOGA2-11HSW
  ・Zシリーズ:Z40-75、Z50-75、Z40-70、Z50-70


●今回の証明書の危険性

 証明書には大別して2種類あります
 ひとつは認証局から証明された証明書でこちらが一般的な証明書
 もうひとつは認証局自体の証明書で他者の証明を行える責任ある機関のもの

 今回大問題となったのは認証局としてオレオレ証明書を作り
 自社PCにプリインストールしていたからです

 そのPCではそのオレオレ証明局を信頼してしまっているため
 どんな卑劣なことをするところであっても
 公的に信頼されたものと同等に信頼してしまう状態となります

 さらにこの認証局はしょせんオレオレ認証局ですので
 ここから認証されたものとして証明書を用意すれば
 どれだけ個人情報を抜こうが詐欺を働こうが
 偽りの信頼を付与されるのです

 あくどい人たちがこんなオイシイ状況をヒャッハーする前に
 早々に偽認証局の証明書を削除する必要があります 
 

●対処方法

 ・その1:lenovo純正アンインストーラー
      こんなふざけたことをする企業の純正ツールは
      正直紹介したくないのですが最初に書いとくのが筋かなと
      てことで面倒でも他の手段を推奨したいところです

 ・その2:普通にアンインストール&手動で証明書削除
      スタートメニューからアンインストーラーのショートカットをクリック
      またはコントロールパネルのプログラムと機能からSuperfishを削除
      その後にスタートメニューの「ファイル名を指定して実行」から
      「certmgr.msc」を入力して実行
      証明書管理ツールが起動するので「信頼された証明書機関」の下にある
      「証明書」フォルダ内にSuperfishのオレオレ証明書があるので削除
      ※通常のアンインストーラーではオレオレ証明書は消えないので
       自分でしっかり削除を確認しましょう
      

●残念なおまけ情報

 同様なことがなんとセキュリティソフトのComodo Internet Securityなどでも発生
 内部にあるPrivdog部分でやらかしております
 そのほかにも悪名連ねているとこがボコボコとでております

  ・Atom Security, Inc
  ・Infoweise
  ・KeepMyFamilySecure
  ・Komodia
  ・Kurupira
  ・Lavasoft
  ・Lenovo
  ・Qustodio
  ・Superfish
  ・Websecure Ltd

 こいつらの証明書を消すと不具合がどこかで出るかもしれませんが
 認証局や信頼された証明書機関から消しとくほうが安心かも


●以下余談

 lenovoのGシリーズはコスパの良い人気機種で
 価格コムやコネコネットでも人気上位を博していました
 ニコ生でおすすめノートをといえばこのシリーズというくらいでした
 今回の一件で奇しくも安いものには訳があるということを
 手痛い感じで証明されてしまったなぁという気がします

 個人的にはパソコンであれ使い込んでいく予定の道具には
 あまりお金に糸目を付けない質なので
 このシリーズには手を出しませんでしたが
 もしお金がなかったらきっと手を出していただろうなと思います

 なんにせよ何年かは使っていく諭吉出費の道具選びには
 やぱり慎重にならなきゃいけないよねと再認識させられる一件でした

 Don't trust anyone.
 疑うということは悪意ではなく
 知りたいと願う善意と探求心である

コメント

コメントはまだありません
コメントを書き込むにはログインしてください。

いまブロマガで人気の記事