ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-02-20

Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。

| 01:53 |  Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。を含むブックマーク

2015年2月19日、Lenovo製品のPCの一部にプリインストールされているアドウェアSuperfishに深刻な問題が確認されたとして報道されました。ここでは関連情報をまとめます。

公式発表

見解内容
2015年2月20日の日本法人の見解の変更箇所
  • 変更箇所

f:id:Kango:20150221092929p:image:w450

タイムライン

日付出来事
2014年9月頃Lenovo製PCでSuperfishプリインストール開始。*1
2014年9月21日LenovoのサポートフォーラムにアドウェアSuperfishに関する投稿が行われる。
2015年1月23日Lenovo社Mark Hopkins氏がフォーラムにコメント
2015年1月頃Lenovo製PCでSuperfishプリインストールが停止される。
2015年1月頃Superfishが無効化される。
2015年2月19日NextWebがSuperfishの問題を記事に取り上げる
Lenovo社が公式声明を発表。
Lenovo CTOが理論上の懸念事項について論じているとして、セキュリティ関係者とは議論をする気はないとWSJのインタビューで発言
2015年2月20日KomodiaのWebサイトDoS攻撃を受けダウン。
Lenovo日本法人が公式声明を発表。
LenovoSuperfish脆弱性情報を発表。公式声明を修正。
US-CERTがSuperfishインストールされたLenovo製品に対して注意喚起を発表
Superfishが使用するKomodia Redirector自体に脆弱性が存在することが判明し、CERTより他影響が及ぶベンダ等の情報公開。
2015年2月21日LenovoSuperfishの削除ツールを公開。
MicrosoftWindows DefenderでSuperfishの検知・削除に対応。*2
2015年2月23日LenovoSuperfishの問題を受け提訴される。*3
2015年2月26日LenovoHP改ざんされる。*4

Lenovo社製PCにおけるSuperfishの問題・脆弱性

  • Lenovo社製PCの一部において次の問題・脆弱性が存在する。
インターネット検索を行う際、画面中にSuperfishにより広告が差し込まれる。
  • 「Visual Search results Powered by VisualDesicovery」として検索ページに広告が差し込まれる。
  • Googleのサービス利用時には広告の挿入は機能しないのではないかとの情報がある。
  • 外部サイトからJSPファイル「sf_main.jsp」を読み込むコードが挿入される。(sf_main.jspのコード)
  • Lenovoのフォーラムで投稿された差し込まれる広告の例
    f:id:Kango:20150220004113j:image:w450
Webプロキシとして動作する。
  • 悪用をすれば中間者攻撃を行うことが可能となる。
ルート証明書Superfishが発行した証明書がインストールされる。

国内の銀行でもSuperfishによる問題が生じていた模様

影響を受けるかの確認

対象の製品か確認する。

Superfishが搭載されて出荷されたモデル:

G シリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45

U シリーズ U330P, U430P, U330Touch, U430Touch, U530Touch

Y シリーズ: Y430P, Y40-70, Y50-70

Z シリーズ: Z40-75, Z50-75, Z40-70, Z50-70

S シリーズ S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch

Flex シリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10

MIIX シリーズ: MIIX2-8, MIIX2-10, MIIX2-11

YOGA シリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

E シリーズ: E10-30

http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml
影響対象載製品は国内は約5万台
  • 報道によればワールドワイドで約100万台、国内における対象機種は約5万台が影響を受ける模様。
  • NECパーソナルコンピュータの製品は対象外。*5
Lenovoが発表した対象外製品
簡易チェックサイト
組織内にSuperfishインストールされた端末が存在するか確認する方法
  • superfish.aistcdn.com」へアクセスしている端末が存在しないか確認する。リクエストされるURLは次の通り。

http://superfish.aistcdn.com/set.php?ID=[GUID]&Action=[ACTION]

Where [ACTION] is at least 1, 2, or 3. 1 and then 2 are sent when a computer is turned on. 3 is sent when a computer is turned off.

https://www.us-cert.gov/ncas/alerts/TA15-051A

対応

アドウェア本体のアンインストールSuperfishの証明書削除が必要。

  • LenovoのサポートページではWindows8想定の削除手順が記載されている。
    • [hxxp://support.lenovo.com/us/en/product_security/superfish_uninstall:title=Instructions to determine if you have the SuperFish application installed and how to Uninstall it]
(1) Superfishアンインストール
(2) Superfishの証明書の削除
  • 「certmgr.msc」を実行
  • 「信頼されたルート証明機関」→「証明書」をクリック
  • Superfishの証明書を右クリックし、削除する。
(3) Superfishの証明書の削除 (Firefox/Thunderbirdを使用している場合)
  • オプション」→「詳細」タブ→「証明書」タブをクリック
  • 「証明書を表示」をクリック
  • 認証局証明書」タブをクリック
  • Superfishの証明書を選択し、「削除または信頼しない」ボタンをクリック。
  • 確認ダイアログが開くので「OK」をクリック。

関連事象 その1 KomodiaのWebサイトDoS攻撃を受けダウン

f:id:Kango:20150220164427p:image

関連事象 その2 Komodia Redirectorの脆弱性によりSuperfishと同様に影響を受ける製品

CERTが発表した影響対象

CERTよりLenovoSuperfish以外に以下ベンダの製品で影響が及ぶことが発表されている

  • Atom Security
  • KeepMyFamilySecure
  • Komodia
  • Kurupira
  • Lavasoft
  • Qustodio
  • Websecure
Superfish以外でFacebookが確認した証明書発行元のリスト

Facebookが分析したレポートに掲載されていた同社セキュリティチームの確認した疑わしい証明書発行元のリスト。

  • CartCrunch Israel LTD
  • WiredTools LTD
  • Say Media Group LTD
  • Over the Rainbow Tech
  • System Alerts
  • ArcadeGiant
  • Objectify Media Inc
  • Catalytix Web Services
  • OptimizerMonitor

関連事象 その3 Lenovo社のサイトが改ざん

関連情報

更新履歴

  • 2015年2月20日 AM 新規作成
  • 2015年2月20日 AM 公式発表情報を追記、一部修正
  • 2015年2月20日 PM 対応手順に公式サイトの情報を追記。
  • 2015年2月21日 AM Lenovoの公式見解の修正に伴い情報を追記・修正。
  • 2015年2月21日 PM US-CERTの注意喚起を追加。
  • 2015年2月21日 PM Lenovoが削除ツールを公開したことに伴い更新。
  • 2015年2月24日 AM Facebookのレポートを追加。
  • 2015年2月26日 PM LenovoHP改ざんされた件を追加。