Lenovo Superfish
IBMのパソコン事業部門が中国企業のレノボに買収された。日本IBMはパソコン事業の主力部門だったから、日本IBMも多くはレノボに移ったのではないか。
上が変われば会社が変わる。今は普通に中国企業と思った方がよいだろう。もとは日本IBMなどと思っていたら勘違いもいいところ。
危なさは中国並み。やはり中国が入るとこういうことになる。そういう印象だ。
スーパーフィッシュはパソコンログを外部に持ち出して解析して何かに役立てる。より良い情報サービスのためと言うのは表向きで、どのような思想・信条かも同時に解析されてしまう。どの余蘊亜脆弱性を持っているか、それ以前に個人情報の殆どは筒抜けになってしまうだろう。外部の企業がいずれ、中国共産党の支配下の企業(普通の中国企業の事)になれば、企業の秘密、公共・行政の秘密も漏れる。
これはある意味当然のことだ。スーパーフィッシュの存在が明らかになって初めて問題のように振る舞うが確信犯だろう。すべての中国企業にはこの類のリスクがあることが、すべての経営者、技術者、ビジネスマンは想定しなければいけない。人を見たら泥棒と思え!は悲しい名言だが、現実に中国の影を見たら犯罪が渦巻いていると思わなければいけない。
彼らはあの手この手で日本から日本の有形無形の資産を奪おうとしている。経営者はそれくらいに思っていなければ駄目でしょう。
※
http://itpro.nikkeibp.co.jp/atcl/news/15/022000616/
Lenovo、脆弱性が指摘されたSuperfishを「1月からすでに停止」と説明
2015/02/20
鈴木 英子=ニューズフロント
中国Lenovo(聯想集団)は現地時間2015年2月19日、セキュリティ侵害の危険性が指摘されていたアドウエア「Superfish」について、1月から配信および動作を停止しているとの声明を発表した。
Lenovoによると、Superfishは2014年9月から12月の間、同社の消費者向けノートパソコンにプリインストールされて出荷されていた。「ユーザーがオンラインショッピングで興味のある商品を見つけやすくすることが目的だった」が、「ユーザーには不評だったため、1月にサーバー側で通信を停止し、製品へのプリインストールも中止した」という。
このため、すべてのLenovo製品でSuperfishは動作しない。また今後もプリインストールする予定はないとしている。
Superfishに関しては、デバイスをハッキングの危険に曝す悪質なソフトウエアとの批判の声が上がっていた。悪意のあるハッカーがMan-in-the-Middle(中間者)攻撃によって通信を乗っ取り、盗聴することが可能だという(英Reutersの報道)。攻撃者がブラウザー証明書を悪用して暗号化したWebデータにアクセスできる危険性も報告されているが、Lenovoの広報担当者は「徹底的に調べたが、セキュリティ上の懸念となる証拠は見つからなかった」と述べている(米Wall Street Journalの情報)。
Lenovoは声明の中で、「Superfishは純粋に文脈や画像にもとづいて処理するものであり、ユーザーの行動を監視や分析するものではない。ユーザー情報を記録せず、ユーザーが誰であるかを認識しない。ユーザーが追跡やリターゲットされることはなく、各セッションは独立している。Superfishを使用するかしないかの判断はユーザーに任されている。Superfishとの提携は金銭的に重大なものではなく、ユーザー体験の強化を目的にプリインストールしていた。しかし当社の目的に合わないことが分かった」と説明している。
[発表資料へ]
※
http://jp.techcrunch.com/2015/02/19/20150218lenovo-superfish/
LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった!
JON RUSSELL2015年2月19日
Lenovoは今日(米国時間2/18)、同社の消費者向けPCの全機種に重大なセキュリティホールが見つかるという、煮え湯を飲まされた。
Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。
今Lenovoにコメントを求めているが、まだ得られていない。
The Next Webの記事によると、1月にLenovoの社員のMark Hopkinsが、ある顧客のフォーラム上で、Lenovoが‘ヴィジュアル検索’企業のソフトウェアをプレロードしているのでは、という顧客からの嫌疑を確認している。そのときの彼の説明によると、そのソフトウェアには“ある問題が”あるので、“一時的に削除された”、という。その問題には、勝手に出現するポップアップも含まれていたようだ。Superfishに対して、市場に存在する既存のデバイスに対するアップデートを要請した、と彼は付け加えていた。
プレインストールは消費者に不評である。当然ながら彼らは、買ってきたばかりのデバイスがクリーンであることを求める。しかし一部のハードウェアメーカーは、そういうことをやってお金を稼いでいる。Superfishには、ブラウザにポップアップすることや、アンインストールする必要性などの面倒ばかりでなく、自分で署名してrootになりすまし、ユーザのWebブラウザからデータを集める、という深刻なセキュリティの脅威があるらしい。
さらにまた、サードパーティはSuperfishの証明キーを生成して、その悪質極まりない行動を自分のために利用できる。HackerNewsが、そのことを指摘している。
銀行利用のためのパスワードや振込用の暗証番号などの個人データがいちばん心配だが、すでにSuperfishの問題がたくさんツイートされている中には、下図に示すような、bankofamerica.comの証明のなりすましという深刻な例もある。こういうことが、できてしまうのだ。
さらにまずいのは、Superfishのソフトウェアを削除しても、Lenoveのマシンから証明は(したがって脅威は)削除されないことだ。
Hopkinsは、PCに最初から組み込んだSuperfishにできることと、できないことを、次のように説明している:
Superfishの技術はコンテキストと画像だけを利用し、ユーザの行為行動は利用しない。すなわちそれは、ユーザの行為行動をプロファイリングしたり、モニタしたりはしない。ユーザ情報を記録しない。ユーザが誰であるかを関知しない。ユーザは追跡されないし、リターゲットされない。各セッションが独立で、他のセッションに/からデータを受け渡ししない。
しかしそれでも、ユーザのデータとセキュリティが危険にさらされているという事実が、Lenovoの顧客やセキュリティのエキスパートたちのあいだで警報として伝搬している現状は、すごく正当である。
なお、イギリス政府の諜報部門MI5とMI6は、同部門内におけるLenovo製品の使用を禁止した、と報じられている。ハッキング被害に遭いやすい、という脆弱性がその理由だ。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
Tags: lenovo, Superfish
※
