( 2012.09.17 )




 米国Microsoft は、中国で出荷時のPCに、強力なボットネット・マルウェアがプリインストールされていたという、驚くべき証拠を公開している。

 中国でマルウェアの調査を行う 「Operation B70」 が開始されたのは2011年8月のこと。 Microsoft の文書では、デジタル犯罪ユニット( DCU )が、中国内の様々な地域から20のブランドのPCを購入し調査をしたところ、そのうち4台がプリインストールされたバッグドア型のマルウェアによって感染 しており、そのうち一つには既知の 「Nitol」 と呼ばれるルートキットが含まれていた という。


 調査チームが、Nitol の活動を追跡したところ、C&C( コマンド&コントロール )サーバが存在していることが明らかとなった。 このマルウェアに感染させられたPCが、より大きなボット、おそらく DDoS 攻撃を仕掛けるために使われることを突き止めたという。

 USBなどのリムーバブルメディアに自分自身のコピーを残すことにより Nitol はプリインストールされていたPC以外にも広がっていく。

 Nitol によってC&Cサーバでマルウェアをホストされた場合、マルウェア犯罪者たちにとっては、ほぼあらゆる問題行動が可能となる。キーロガや制御ウェブカメラ、検索設定の変更など、様々なことを犯罪者側が遠隔操作で行えるようになる。

 Microsoft は、長い間マルウェアがPCの製造中、もしくは製造後すぐにPCにインストールされているのではないか、という疑いを持っていたと述べている。

 Microsoft は調査結果を紹介したブログのなかで 「 特に不穏なのが、輸送、企業間移動などサプライチェーンのどこかの時点でPCにマルウェアがインストールされているということだ 」 と強調する。

 セキュリティ対策を加える前に、誰かが製造時にマルウェアをインストールしているという状況は、工程の後の方でセキュリティ対策を加えるというセキュリティ・システムそのものを見直さなければらならなくなる。

 加えて、エンドユーザーがこれらによるリスクを回避するには、既知の安全なイメージ・ファイルを用いて、オペレーティング・システム( OS )を再インストールするしかないだろう。

 「 Operation B70 」 は、PCのセキュリティ状態が望ましくない状況に置かれている点を指摘しているとともに、サプライチェーンにおけるセキュリティに疑問を投げかけている。

 Microsoft は、すでに先週前半に、Nitol ボットネットに指示するために使用されているC&Cサーバを制御するために米国裁判所から許可を取得したという。





( 2013.07.30 )
使

 29日付の英紙 『 Independent 』 によると、イギリスの秘密情報部( MI6 )や保安局( MI5 )、政府通信本部( GHCQ )などの見解として、レノボ( Lenovo )のコンピューターにハッキングへの脆弱性が認められるため、政府での使用を禁止すべきだとする文書が作成されていたようである。

 周知のように、レノボといえば、中国を代表するコンピューター企業で、最近、IBM 社の PC 部門を買収したことで、大きな話題となった。 しかし、以前から中国政府との関係がささやかれていて、アメリカでも、超党派の米議会議員で構成される米中経済・安全保障検討委員会( U.S.-China Economic and Security Review Commission )が、安全保障上の理由から、レノボの製品を政府で使わないように警告を発している。

 『 Independent 』 の取材に対して、英政府はコメントを拒否している。 だが、 『 Independent 』 の記事によると、2000年代中頃、イギリスの研究機関が、レノボ製のコンピューターに搭載されたハードウェアやファームウェア( firmware )において、コンピューターを外部から操作したり、データにアクセスしたりすることが可能になる脆弱性を発見したことから、レノボ製品を使用しないように呼びかけられていたという。 そのため、英政府では、機密情報をやり取りするような通信ネットワークにおいて、レノボ製品を使わないようにしてきたとされている。

 もちろん、レノボ側は、自社の製品が信頼に足るものであり、指摘されているような欠陥はないとアピールしている。 ただ、北京に本社を置き、同社の最大株主( 保有比率約34% )が中国の国家機関である中国科学院になっているという事実を考えたとき、中国政府との関係を完全に否定することは難しいだろう。

 アメリカでも、昨年、中国の通信企業である華為技術( Huawei Technology )や ZTE コーポレーションに対して、中国政府との関係が取り沙汰されて、政府内で両社製品の使用禁止が議会から勧告された。 その際、中国企業の信頼性・安全性をめぐって大きな議論に発展したが、今回のニュースによって、もしかすると同じことがイギリスにおいても見られるようになるかもしれない。





( 2015.02.20 )

    Superfish


 レノボPCの人は今すぐ ココを開いて Superfish の脆弱性にやられてるかどうかチェックしてください! 「 Good, ~ 」 って水色の文字で出たらセーフ。 「 Yes 」 はアウトなので後述の指示に従ってね。

 レノボ製の2014年9月~12月製造( lenovo発表 )のパソコンに工場出荷の段階で 「 セキュアな取引きまで傍受できる 」 とんでもないアドウェアがプリインストールされていたことが、同社フォーラムに寄せられた苦情多数で明らかになりました。

 ソフトの名前は 「 Superfish 」。 グーグルの検索結果やサイトを開くとユーザーの許可なしにサードパーティー製の広告を挿入するアドウェアで、少なくとも Chrome や IE では動作が確認されています。

 広告挿入もひどいけど、問題はそれだけじゃありません。 こやつ、自己署名証明書を自己発行して、偽のSSL証明書を生成し、SSL通信の中身まで覗けるようにする不届き者なのです。 俗に言う 「オレオレ証明書」。

 それの何が問題なのか? セキュリティの専門家の Kenn White さんがこんな一例を紹介してますよ。

 そう、バンカメの銀行口座で行う操作も第三者に丸見えになっちゃうんです!

 ソフトで発行した証明書を見てください。 「 issued to Bank of America( バンク・オブ・アメリカ宛てに発行 ) 」 された証明書の発行主が … なぜか 「 Superfish 」 になってます。 本来ならここには信頼ある認証局の VeriSign なんかがこなきゃダメなのに。 Superfish は閲覧データをチェックして広告会社に転送するソフトなので、こんな風にセキュアなコンテンツまでアクセスできるのは大・大問題なのでありますよ。

 問題はまだあります。 ユーザーや The Verge が書いてるように、この Superfish 、同じ秘密鍵を使ってマシンのルート証明書まで発行できるんです。

 つまり、誰かにこの証明書の暗号鍵を破られたら大ピンチ。 Superfish に毒されたレノボPC( 現段階ではほぼ全台 )が信頼する証明書も生成可能になって、持ち主に悟られないまま外から悪玉コードを植え付け放題できるということです。 オーマイガッデスなんまいだー!

 この問題が表面化したのは今年1月、 Lenovoコミュニティ管理者の Mark Hopkins さんが同社フォーラムに残した 「 レノボはコンシューマシステムから Superfish をとりあえず削除しました 」 という書き込みがきっかけでした。 そんなものをなぜ出荷段階で入れたのかについては、 Superfish は 「 ユーザーが製品を視覚で発見・理解するのを支援 」 し、 「 ウェブ上の画像を瞬時に分析し、同じ製品や類似品でもっと安い価格のものを表示する 」 ものだと書いて擁護してます。 でも、ここまで問題が大きくなると、そうも言ってられなくなりますね。

 ここまでの記事を米版で公開した直後に、証明書の暗号鍵は Errata Security 社の Rob Graham 氏によってアッサリ破られてしまいました …。 これにて Superfish 搭載レノボマシンはすべて攻撃対象に。 繰り返しになりますが、レノボPC持ってる人は一番上のリンク先で今すぐ感染してるかどうかチェックしてくださいね! 今すぐ!

 Lenovo からはこんな声明が出ましたよ。
今年1月より、 Superfish は全レノボ製品でサーバーサイドのインタラクションをすべて無効にしておりますので、もう有効ではありません。この措置は市場に出回っている全製品の Superfish が対象です。
レノボは1月に、このソフトウェアのプリインストールを停止しました。
今後もプリインストールする予定はありません。
 やれやれひと安心 … て、 Superfish 込みのPCをもう買ってしまった人の問題解決には全然なりませんけどね。 root 証明書が脆弱だと、そこが外部からの侵入を許すウィークポイントになります。 その問題は残ったままです。

 もし一番上のリンク先で判定結果が 「 Yes 」 と出てしまった方は、 マシンのバックアップをとって、 Windows をクリーンインストールするか、あるいはレジストリを開いて問題の証明書を手動で削除することをおすすめします。

 それにしても一連の騒ぎで最悪なのは、レノボの声明のこのくだりでしょう。
 当社ではこの技術について徹底的に調査しましたが、セキュリティの不安を裏付ける証拠は何ひとつ見つかりませんでした。 しかしながらこの問題に不安を訴えるユーザーがいることも承知しておりますので、このソフトウェアを搭載した製品はすべて出荷停止としました。
 ウェブで証拠がこれだけ出回ってるときに、それはちょっと …。 「 Superfish は無効にした、新しく出荷されるPCには搭載されてない 」 とは言っても、その前に買った人は脆弱性を抱えたままなので、言葉をどう入れ替えても問題の深刻さが和らぐことはないと思いますよ。





( 2015.08.21 )


 中国のパソコンメーカー 「 レノボ・グループ 」 が、出荷時に独自にノートパソコンに組み込んでいたソフトウエアに、個人情報の流出などにつながるおそれがある欠陥が見つかりました。 このソフトはことし6月までに販売された23機種のパソコンに入っていますが、利用者が簡単に消せないようになっていて、レノボはこのソフトを消すための特別なプログラムの配布を始めました。

 このソフトは、利用者がパソコンをどのように使っているかを知るために、出荷時にレノボが独自に組み込んでいたもので、システムの情報を自社のサーバーに自動的に送信するよう設定されていたということです。
 しかし、レノボによりますと、ことしの春、このソフトに欠陥が見つかり、悪用されると最悪の場合、コンピューターウイルスに感染したり、インターネットを通じて勝手に遠隔操作されたりするおそれがあることが分かりました。
 被害は今のところ確認されていませんが、このソフトは利用者が簡単に消せないようになっていて、レノボはソフトを消すための特別なプログラムの提供を先月末から始めました。
 レノボによりますと、このソフトは世界中で販売された23機種のノートパソコンに入っていて、国内ではことしに入ってから6月までに販売されているということです。
 レノボのパソコンを巡っては、去年販売された40余りの機種の中に、個人情報の流出につながるおそれがあるソフトが入っていたことが分かり、大きな批判を招いています。
 レノボの日本法人は 「 利用者に対してセキュリティーに対する懸念と不安を与えてしまい、大変遺憾です 」 とコメントしています。