レノボ、危険アドウェアSuperfishの自動削除ツールを公開。証明書も削除

レノボが深刻なセキュリティ問題のある アドウェア Superfish の自動アンインストールツールを公開しました。

This is a problem. #superfish pic.twitter.com/jKDfSo99ZR

- Kenn White (@kennwhite) February 19, 2015

レノボが昨年9月から今年2月まで一部の自社ノートにプリインストール出荷していた Superfish は、ユーザーがウェブブラウズ中に表示した商品などの画像を読み取って、他ではこんな価格で販売していますという広告を挿入するソフトウェア (アドウェア)。

ユーザーの理解と明確な同意なしにデフォルトで広告を出すだけでも問題ですが、Superfish はユーザーがどのウェブページを見ているかを外部に送信して動作していたこと、さらにネットバンキングやオンラインストア、ウェブメールやSNSなど、個人情報や決済情報を扱うサービスで使われる暗号化(HTTPS)であっても、途中の経路を乗っ取る動作でアクセスしていた点が大きな問題でした。また途中経路を乗っ取る動作することから、オンラインショッピングと無関係なウェブアプリに問題を起こす場合も報告されています。


ユーザーやセキュリティ研究者からの指摘を受けたレノボ側は、購入者に不評だったため1月の時点でサーバ側を止めすでにSuperfishは動作していないこと、またユーザーのウェブ閲覧履歴は保存していなかった、個人を識別して追跡やターゲット広告などに使っていなっかたと釈明しています。

しかしこれは『隠しカメラとマイクは仕掛けたけれど、こちら側のモニタはもう撤去しました。覗いた映像も広告に使ったあとは消しているから信用してください』というようなもので、悪用可能な穴がなければそもそも信頼するしないを考える余地もありません。

「Superfishは、お客様のショッピングの間に興味をお持ちになる可能性のある商品を発見する手伝いをする目的で、2014年9月から2015年2月の期間、コンシューマ向けノートブック製品の一部に搭載されていました。しかしながら、本アプリケーションに対するお客様からのフィードバックはポジティブではなく、我々は直ちにかつ決定的な対応を行いました。具体的には：

1. レノボ製品に搭載された全てのSuperfishは、サーバ側との接続ができないように完全に無力化されています（本年1月より）。したがってこのアプリケーションはもはや動作しません。この無力化は出荷されたレノボ製品に搭載された全てのSuperfishを対象としています。
2. レノボは本年2月より本アプリケーションのプリロードを停止しています。
3. 将来にわたり、本アプリケーションをレノボ製品にプリロードすることはありません。

本ソフトウェアはローカルの信頼されたCAストアに自己署名証明書をインストールするなどの脆弱性が確認されました。アプリケーションはアンインストールできますが、現在のアンインストーラーはSuperfishのルート証明書を削除しません。

説明:
Superfishは自己署名証明書を用いてHTTP(S)通信を傍受します。この自己署名証明書はローカルのルート証明書ストアに保管されて、セキュリティ上の懸念点になります。」
(レノボセキュリティアドバイザリ「Superfishの脆弱性」,2015年2月20日更新)

さらに大きな問題は、レノボ側がサーバを停止しても、またSuperfishをユーザーが手動でアンインストールしても、Superfishによってシステムにインストールされた証明書は消えずに残ること。Superfishがインストールするプライベートキーの暗号化はあっけないほど簡単に破られており、ハッカーが悪用すれば経路を乗っ取って通信内容や個人情報を盗むいわゆる中間者攻撃(Man-in-the-middle attack)が可能な状態でした。

レノボの当初の釈明はこの自己署名証明書による傍受と悪用の可能性について華麗にスルーしていましたが、21日付けの更新では「(サーバを止めプリインストールも取りやめました) しかしながら、セキュリティ面での潜在的な脆弱性については昨日まで認識しておらず、この点について深くお詫びいたします。私たちは現在、この問題の収束に向けて全力で取り組んでいます。」として、危険性が分かっていなかったので対策もしていなかった、と説明しています。


といった経緯を経てレノボが21日公開したのは、自動で Superfishおよびその自己署名証明書を削除するツール。自動削除ツールのソースコードや、手動で削除する場合の手順も公開しています。

レノボ：Superfish ツールのアンインストール方法


影響を受ける可能性があるのは、昨年夏以降に購入したレノボノートブックのうちE / Flex / G / M / S / U / Y / Yoga Z シリーズの以下のモデル。レノボは「ThinkPad、ThinkCentre、Lenovo Desktop、ThinkStation、ThinkServer および System x 製品には影響ありません。」とたびたび強調していますが、これで ThinkPad ブランドへの信頼も影響を受けないと思っているならばおめでたい話です。

レノボ側は Superfish について「あくまで一部のモデルについて実験的に、一時的に導入したのみで〜」と釈明していますが、つまりは自社製品のうちこのシリーズ購入者は侵襲的広告アプリの実験に使ってもよい判断をしていたことになります。

E シリーズ:
E10-30

Flex シリーズ:
Flex2 14, Flex2 15
Flex2 14D, Flex2 15D
Flex2 14 (BTM), Flex2 15 (BTM)
Flex 10

G シリーズ:
G410
G510
G40-70, G40-30, G40-45
G50-70, G50-30, G50-45

M シリーズ:
Miix2 – 8
Miix2 – 10
Miix2 – 11

S シリーズ:
S310
S410
S415; S415 Touch
S20-30, S20-30 Touch
S40-70

U シリーズ:
U330P
U430P
U330Touch
U430Touch
U540Touch

Y シリーズ:
Y430P
Y40-70
Y50-70

Yoga シリーズ:
Yoga2-11BTM
Yoga2-11HSW
Yoga2-13
Yoga2Pro-13

Z シリーズ:
Z40-70
Z40-75
Z50-70
Z50-75