レノボのプリインストールソフトに大欠陥、“セキュリティの基本”以前の問題にどう向き合う?:半径300メートルのIT
Lenovo製PCにプリインストールされていた広告表示用のプログラム。こっそりSSL通信を傍受する仕組みも入れていたことが発覚して大問題になっています。
本連載「半径300メートルのIT」が角川EPUB選書から書籍『デジタルの作法』として発行されました。書籍化にあたりこれまでの書いた記事を読み直してみたところ、話のツカミは違っていても結論はほぼ同じことを書いているな、と改めて思いました。
要するに「セキュリティは基本が大事」。PCやスマホに絡むほとんどの事象ならば「最新のOSを使う」「パッチが出たらすぐに適用する」「セキュリティ対策ソフトを使う」ことで、被害は最小限にできます。また、ソーシャルメディアにおいては「人の恨みを買わない」「余計なことは書かない」といったところでしょうか。
その「基本」を超えるような事件が起きた!
とはいえ「セキュリティの基本」を守っていてもそれをやすやすと超えてしまうような事件も起きるのも怖いところ。例えば、2015年2月19日に発生した通称「Superfish」事件です。
レノボが販売するコンシューマー向けPCに「Superfish」というプログラムがプリインストールされていました。これ自体はインターネットでの検索時に広告を挿入させるためのもの。ところが、暗号化されたSSL通信を傍受する仕組みも持っていたことが発覚し、大きな問題となっています。
SSL証明書の「秘密鍵」は絶対に漏れてはいけないものです。それが流出してしまえば、Man-In-The-Browser攻撃(MITB、中間者攻撃)が可能になるだけでなく、Webブラウザが警告を出さない偽サイトも作れます。
レノボといえば、法人需要も高い「Thinkpad」ブランドがパッと頭に浮かびますが、今回の対象製品はコンシューマー向け製品だけでThinkpad自体には関係ないとのこと。ただし、一時期話題になった8インチのWindowsタブレット製品も含まれているので、ITmedia エンタープライズの記事や、セキュリティに関する情報を的確にまとめてくれているpiyokangoさんの「piyolog」のまとめ記事をぜひ確認してください。
情報収集のアンテナ感度を上げることは情シスの基本
このような広告を無理やり表示させる「アドウェア」。これを必要とする人はほとんどいません。本来であれば、希望する人だけがインストールする方法を採るべきですし、「どのようなことを行うのか」をユーザーにまったく知らせずに、こっそりと行われていることには寒気がします。が、今はそのようなことを論じる場合ではありません。
残念ながら今回の事件については、セキュリティの基本を守っていたとしても影響があるようなものでした。プリインストールソフトを入れていないPCベンダーはほとんどありません。今回はLenovoでしたが、どのメーカーのユーザーであっても被害者になり得る話です。
今回の事件の注目すべきポイントは生産国や生産メーカー、OSの種類ではありません。重要なのは、事象が既知となることで数時間のうちにクラックが行われ、さまざまな「悪いこと」ができる可能性が明らかになったこと。このスピードにあわせて対処を行える体制が取れていないと、さらなる被害を受ける可能性があります。
何か事件が起きたら、被害が最小限になるように情報収集し、適切な対処を行う――これが、また新たな「基本」になるでしょう。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。みなさんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
さらにありがたいことに、誠ブログの読者からも書評が届いています。こちらもぜひ、ご覧ください。
- セキュリティ業界の専門家が教えるWindowsに入れるべきツール(書評:デジタルの作法(1))
- 「こいつ、セキュリティ意識が低いな」という人に読ませたい『デジタルの作法』
- 「デジタルの作法」1億総スマホ時代のセキュリティ講座 もう、パスワードの作り方だけで1300円分の価値あります
関連記事
いつの間にかやられている「やり取り型」攻撃って知ってる?
今さら「オレオレ詐欺」に引っ掛かる人はいないよね――。そんな油断を突いて攻撃者はさまざまな“情シス助けて詐欺”を仕掛けてきます。
「PCの暗号化を解除しないと、飛行機に乗せないよ」といわれたらどうする?
パリの国際空港で飛行機に乗る直前に米セキュリティ企業の幹部が呼び止められました。「PCのパスワードを解除しなさい、それがルールだから」
「無線LAN、暗号化してるから大丈夫」と思い込んでませんか?
空港の公衆無線LANが暗号化されていないので危険だと話題になりました。では、暗号化してあれば安全なのでしょうか?
Webサイトの“鍵”まる見え問題、利用者がすべきことは?
OpenSSLという暗号化のためのプログラムに大きな欠陥が発見されました。本当は見えちゃいけない暗号の“鍵”やパスワードが流出する可能性があります。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。