TYCOONユーザ各位
平成27年2月24日
情報教育研究センター
センター長・教授 土橋 朗
Lenovo製PCにおけるマルウェア(Superfish)に関する注意喚起
Lenovo社は今月20日,自社の一部のノートPCに導入されていた「Superfish」
と呼ばれるアドウェア(広告を目的とした無料のソフトウェア)が,Webサービス
を利用するユーザーに,様々な不利益を与える危険性があることを認め,謝罪して
います.また「Superfish」を取り除くためのプログラムを公開しています.
・Lenovo、「Superfish」プリインストールについて公式見解を発表
http://www.itmedia.co.jp/pcuser/articles/1502/20/news138.html
・Superfish に関するレノボからのお知らせ(更新)
http://www.lenovo.com/news/jp/ja/2015/02/0221.shtml
「Superfish」を悪用されると,不審な第三者が勝手にWebサーバの証明書を
作成して判子を押し,Webブラウザを信頼させることができるようになり,
大変危険です.例えばフィッシングサイトに誘導されやすくなります.
Lenovo社製のノート型PCをご利用の方々は,ご自分のPCに「Superfish」が
導入されていないか,次のサイトを利用してご確認されることをおすすめします.
・Superfish CA test
https://filippo.io/Badfish/
そして万が一,「Superfish」が導入されてしまっている場合は,次のサイトに
従って,「Superfish」をアンインストールして下さい.
・Superfishのアンインストール方法
http://support.lenovo.com/jp/ja/product_security/superfish_uninstall
[詳しく知りたい方へ]
「Superfish」は,Webサービスにおける通常のSSL通信(httpsでサイトに接続
する通信です)の運用ルールを無視した挙動を示します.すなわちSSL通信に
おける秘密鍵を,Superfish独自のものに入れ替えてしまいます.その結果,
「Superfish」のプログラム自体が秘密鍵を持つことになり,このプログラムを
解析することにより,秘密鍵を入手できてしまうという脆弱性が生じます.
以上,どうぞよろしくお願いいたします.