Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。

2015年2月19日、Lenovo製品のPCの一部にプリインストールされているアドウェア Superfishに深刻な問題が確認されたとして報道されました。ここでは関連情報をまとめます。

公式発表

2015年2月19日 LENOVO STATEMENT ON SUPERFISH (魚拓：当初発表・変更後)
2015年2月20日 Superfishに関するレノボの見解 (魚拓：当初発表・変更後)
2015年2月20日 SUPERFISHの脆弱性 (魚拓)
2015年2月21日 Updated Lenovo Statement on Superfish (魚拓)
2015年2月21日 Superfish に関するレノボからのお知らせ（更新）(魚拓)

見解内容

2015年1月以降Superfishのサーバー側作用により完全に無効となっており、この無効化は市場に出回っている全てのSuperfishが対象になる。
Lenovoは2015年1月以降、Superfishのプリインストールを停止した。
将来にわたってこのソフトウェアをプリインストールすることはない。

2015年2月20日の日本法人の見解の変更箇所

変更箇所

タイムライン

日付	出来事
2014年9月頃	Lenovo製PCでSuperfishのプリインストール開始。*1
2014年9月21日	LenovoのサポートフォーラムにアドウェアSuperfishに関する投稿が行われる。
2015年1月23日	Lenovo社Mark Hopkins氏がフォーラムにコメント
2015年1月頃	Lenovo製PCでSuperfishのプリインストールが停止される。
2015年1月頃	Superfishが無効化される。
2015年2月19日	NextWebがSuperfishの問題を記事に取り上げる。
〃	Lenovo社が公式声明を発表。
〃	Lenovo CTOが理論上の懸念事項について論じているとして、セキュリティ関係者とは議論をする気はないとWSJのインタビューで発言
2015年2月20日	KomodiaのWebサイトがDoS攻撃を受けダウン。
〃	Lenovo日本法人が公式声明を発表。
〃	LenovoがSuperfishの脆弱性情報を発表。公式声明を修正。
〃	US-CERTがSuperfishがインストールされたLenovo製品に対して注意喚起を発表。
〃	Superfishが使用するKomodia Redirector自体に脆弱性が存在することが判明し、CERTより他影響が及ぶベンダ等の情報公開。
2015年2月21日	LenovoがSuperfishの削除ツールを公開。
〃	MicrosoftがWindows DefenderでSuperfishの検知・削除に対応。*2
2015年2月23日	LenovoがSuperfishの問題を受け提訴される。*3
2015年2月26日	LenovoのHPが改ざんされる。*4

Lenovo社製PCにおけるSuperfishの問題・脆弱性

Lenovo社製PCの一部において次の問題・脆弱性が存在する。

具体的に何が問題なのかはnekouriさんの記事で分かりやすくまとめられています。
- Superfishが危険な理由 - めもおきば

インターネット検索を行う際、画面中にSuperfishにより広告が差し込まれる。

「Visual Search results Powered by VisualDesicovery」として検索ページに広告が差し込まれる。
Googleのサービス利用時には広告の挿入は機能しないのではないかとの情報がある。
外部サイトからJSPファイル「sf_main.jsp」を読み込むコードが挿入される。（sf_main.jspのコード）
Lenovoのフォーラムで投稿された差し込まれる広告の例

Webプロキシとして動作する。

悪用をすれば中間者攻撃を行うことが可能となる。

ルート証明書にSuperfishが発行した証明書がインストールされる。

先ほどのWebプロキシでSSL通信にも割り込む模様。

This is a problem. #superfish pic.twitter.com/jKDfSo99ZR
— Kenn White (@kennwhite) 2015, 2月 19

Superfishのアンインストールだけではインストールされた証明書は削除されない。
秘密鍵が既にクラックされている。

SuperFishの中に暗号化された秘密鍵が入っていた。SuperFishのstringの結果のテキストで解読機に流してパスワード発見。komodia。これでSuperFishの証明書は陥落された。本当の意味でおしまい。http://t.co/sRzXS9b2wP
— 高梨陣平 (@jingbay) 2015, 2月 19

クラックしたSuperfishの証明書を使って設置した偽サイトでの検証。ブラウザが偽サイトであることを通知しない。

I setup a hostile Apache webserver with the cracked Superfish CA cert. My infected laptop indeed connects w/o error pic.twitter.com/Dexo5dsS3U
— Rob Graham (@ErrataRob) 2015, 2月 19

国内の銀行でもSuperfishによる問題が生じていた模様

国内の銀行でLenovo社製PCで問題が生じていた様で、Lenovo、及び銀行からその対応のアナウンスが行われている。
Lenovo 電子証明書を利用したWEBサイトにログインできないについてのお知らせ
みずほ銀行レノボ社製パソコンの一部型番で〔みずほe–ビジネスサイト〕〔みずほビジネスWEB〕にログインできない事象について
三菱東京UFJ銀行レノボ社製パソコンの一部型番でログインができない事象について

影響を受けるかの確認

対象の製品か確認する。

Superfishがプリインストールされている日本の対象製品は次の通り。

Superfishが搭載されて出荷されたモデル:
G シリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U シリーズ U330P, U430P, U330Touch, U430Touch, U530Touch
Y シリーズ: Y430P, Y40-70, Y50-70
Z シリーズ: Z40-75, Z50-75, Z40-70, Z50-70
S シリーズ S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex シリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX シリーズ: MIIX2-8, MIIX2-10, MIIX2-11
YOGA シリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E シリーズ: E10-30
http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml

影響対象載製品は国内は約５万台

報道によればワールドワイドで約100万台、国内における対象機種は約5万台が影響を受ける模様。
NECパーソナルコンピュータの製品は対象外。*5

Lenovoが発表した対象外製品

Thinkpad ノートPC
LenovoのデスクトップPC
Lenovoのスマートフォン
法人向け製品（サーバー、ストレージ）

簡易チェックサイト

簡易チェックサイトで問題のSuperfishの証明書が存在するか確認可能。
Superfish CA test
nekouriさんのデモサイト。

組織内にSuperfishがインストールされた端末が存在するか確認する方法

「superfish.aistcdn.com」へアクセスしている端末が存在しないか確認する。リクエストされるURLは次の通り。

http://superfish.aistcdn.com/set.php?ID=[GUID]&Action=[ACTION]
Where [ACTION] is at least 1, 2, or 3. 1 and then 2 are sent when a computer is turned on. 3 is sent when a computer is turned off.
https://www.us-cert.gov/ncas/alerts/TA15-051A

対応

アドウェア本体のアンインストールとSuperfishの証明書削除が必要。

LenovoのサポートページではWindows8想定の削除手順が記載されている。
- [hxxp://support.lenovo.com/us/en/product_security/superfish_uninstall:title=Instructions to determine if you have the SuperFish application installed and how to Uninstall it]