あっ、漏れちゃった……。

というタイトルからの連続ネタが分かる人がどのくらいおられるかはさておき。

昨晩、私をPCに詳しいと勝手に思っている(まあ彼よりは詳しいでしょうが)友人から電話がありまして、「レノボがウィルスに感染していてやばいらしいんだけどどうすればいいの?」みたいなことを訊かれました。何のことかサッパリ分からず、怪しいメール添付ファイルを開いたか変なサイトでも見たのかと思ったのですが、グーグル検索をかけると、レノボのアドウェア問題が凄く話題になっていました。

ウィルスってこれのことか?

 ▼「レノボ製PCにセキュリティーリスク - プリインストールのアドウェアが問題に」(Wireless Wire News)

レノボ(Lenovo)製パソコンにプリインストールされている「Superfish」というアドウェア(広告配信用アプリ)にセキュリティ上の問題が見つかった。このアドウェアが原因で、ユーザーがブラウザ経由でセキュアサイトにアクセスする際に使うパスワードなど重要な情報が第三者の手に渡る可能性が指摘されている。(中略)

「Superfish」がインストールされたパソコンでは、 本来ならベリサイン(VeriSign)のような機関から発行されるべきSSL認証を「Superfish」が勝手に発行してしまう。上記の例では、バンクオブアメリカ(BoA)のウェブサイト(www.bankofamerica.com)に対して、Superfishが発効した認証が発効されている。このやりかたで「Superfish」は暗号化されたセッションにも広告を挿入し、やりとりされる情報の中味も把握できるようにしていると、The Vergeでは説明している。

さらに、本来ユーザー以外には非公開であるはずの情報が広告目的でレノボとSuperfish開発元(同名の企業)に渡ってしまう問題に加えて、この仕組みが悪用されると、ユーザーがオンライン銀行口座の利用時に使うパスワードなどが第三者の盗まれてしまうリスクがあることも指摘されている


 ▼「レノボ、PC製品に危険なアドウェア「Superfish」をプレロード」(C/NET)

 Lenovo製のデスクトップまたはノートPCを所有するユーザーは、「いかなる種類のセキュアなトランザクション」にも端末を使用してはならないと、専門家が警告を発している。Lenovoがアドウェアをインストールした恐れがあるためだ。

 2014年9月から2015年1月までの間に、Best BuyやAmazon.comなどの消費者向けのオンラインストアや小売店で販売されたLenovoブランドの端末は、セキュアなインターネットトラフィックを乗っ取るアドウェア「Superfish」に感染している可能性が高い

 Defconのセキュリティ責任者としてセキュリティを研究するMarc Rogers氏は、ブログで同アドウェアの問題の範囲と規模を詳細に説明している。同氏は米ZDNetに対し、消費者は直ちに自分のコンピュータが感染しているかどうかを確認する必要があると述べた。

とりあえず、下記サイトで急いでマシンの状態を確認してもらいました。レノボ使ってる人はクリックするだけなので飛んでみてください

 ▼「Superfish CA test

「Good, Superfish is probably not intercepting your connections.」と出たらセーフ。「YES, your connections can be tampered with!」と出たらアウトです。

ソフト自体はインストールされていなかったものの、トラブルはこのことでどうやらビンゴだった模様。とりあえずPCにトラブルが起きるとなんでも「ウィルス」って呼ぶのは50代以上の中間管理職にのみ許された特権だと思うのですが、どうもこれアンチウィルスで対策可能になってるみたいだしウィルスでもあながち間違ってないのか……とかいう感想はおいといて、割とヤバそうな感じですね……。

要するにLenovo(中国のPC・スマホメーカー)製のPCにプリインストールされている「Superfish」というソフトが、かなり悪質かつセキュリティに危険をもたらすようなものである、ということのようです。記事を読んでいるうちに、ちょっと前似たような話を聞いた記憶も蘇ったのですが、調べてみるとどうも、2014年1月頃から指摘され始め、去年(2014)の夏頃話題になった事件が再燃している状態。イギリスの公共機関の一部がレノボ製品の利用を禁止したとかいうやつですね。

今回出てきた「Superfish」は、IEやGoogle Chromeを使ってWebページを閲覧する際、強制的に広告を表示させるというソフトで、SSLを含むあらゆるトラフィックに原理的には割り込めるような設計になっているようです(ただこの辺はブラウザ依存で、たとえばFirefoxは大丈夫みたい)。幾つかの記事やサイトでは「アドウェア」として扱われていますが、明らかにただの広告掲載と比べると比較にならないくらい危険度が高いので、正直マルウェアと呼んでも良いような気がします。

下に掲載したツイートを見ると、ホントか嘘か知りませんが、昨日にはデータを暗号化・復号化するシークレットキー(プライベートキー)を見破ったという人があらわれて公開なんぞはじめたりとめちゃくちゃな感じになっています。この辺になってくると私も不勉強でいまいち自信がないのですが、「Superfish」はマシンのルート証明書も発行できるので、「Superfish」が信頼するセキュリティ証明書をつけた悪意のあるデータがばらまかれたときに死ぬしかない、という状況になるんじゃないのかな……。



本家レノボのほうでは既にSTATEMENTを出して「Superfish」のプリインストールを止めたことを伝えています。日本のレノボ製品にも同じものがインストールされているのかどうか知りませんが(友人のには入っていた模様)、レノボ使ってるけど大丈夫だろ~と油断せず、確認して、入っていたら除去するほうが良いと思われます。入れっぱなしにしておくことに害はあってもメリットはほとんどありませんから。

とりあえずの削除には、アンチウィルスソフトが対応してくれているみたいですし、それが厳しいという人は有名なSpybotあたりを使うと良いのではないでしょうか。ときどき、この手のソフトを「殺す」時にはIObit Uninstallerを使うと良いみたいな記事を見かけますが、IObit Uninstaller自体もマルウェアみたいなものなのでやめた方がいいと思います。
 
ただ、これ「Superfish」をアンインストールするとSSL通信覗かれることはなくなるけど、既に発行されたそのPCのニセの安全証明(SSL認証)は消えないんじゃないかという心配があったり。そこんとこどうなんだろう。この辺の記事を読むと、「To make matters worse, it appears that deleting the Superfish software doesn’t remove the certificate (and threat) from a Lenovo machine.」ってなってるから、やっぱり多少問題は残りそうですね。上に張ったサイトでも軽く触れられていました。

ともかく、上のツイートで暴かれたシークレットキーが本物なら、「Superfish」をアンインストールしてもこれから怒涛の攻撃に晒される可能性があるということです。

また同じ記事の中で、「Superfish technology is purely based on contextual/image and not behavioral. It does not profile nor monitor user behavior. 」という専門家のコメントも紹介されています。「Superfish」はスパイウェアじゃないですよ(行動を記録したり追跡するわけでも、個人を特定できるわけでもない)ということのようですが、パスワードを盗られる等に発展する可能性を考えると悠長なことは言っていられないでしょう。

PCの知識がある人ならレジストリから「Superfish」がらみのルート証明全部削除とかできるのかもしれませんが、面倒ならWindowsを再インストールするほうが早そう。逆に、そのくらいやらないとダメなレベルで危険度が高い状態におかれているということは知っておいたほうが良いです。

なお、レノボマシンでリカバリーディスクとか使うと初期インストールの「Superfish」がまたついてくるので、アンインストールしなおすことも忘れずに……。「Superfishを完全に削除するための確認済みの唯一の方法は、(Lenovo以外のイメージから)「Windows」を再インストール」することだけというのは、決して大げさな表現ではないようですよ。