11/24/2015

[IT] DELL製PCにSuperfish類似のセキュリティ無効化の仕込みが発覚

DELLよお前もか、と落胆した人は多かろうと思うわけです。

DELL製の複数のPC製品に、以前大惨事を引き起こしたLenovoのSuperfishと同様のバックドアが仕込まれていた事が発覚したそうです。早速Superfish2.0とか呼ぶ向きもチラホラ。

具体的には、SSL等の秘匿化に用いられる証明書の中にeDellRootという名前のルート証明書を登録し、これで署名された通信を全て信頼する設定にする一方、本来発行者側のみが保持するはずの秘密鍵もローカルに保持し、これによって任意の通信を信頼するものに変換出来る構造にしていた、というものです。要するにセキュリティが完全に無効化されて外部から弄り放題。証明書を入れ替えもしくは発行して、さらに悪用を容易にする事も可能とされています。最悪ですね。

対象は調査中との事ですが、Inspiron5000、XPS15、XPS13で既に確認されているようです。

これは勿論、DELLが故意で仕込んだものです。目的は、サポートを充実させるため、としていて、実際これによって遠隔操作等でサポートを行う事も可能ではあるのですが、そのためだけに入れるというには目的に比して色んな意味でリスクが大きすぎますし、建前な事は明白ですね。NSA等の監視目的か、商業目的か、いずれにせよ何らかの情報すなわち、個人情報や機密の取得を目的にしていただろう事は容易に想像されるところであって、少なくとも大多数は既にそのように認識しているわけです。万が一そのような意図が無かったとしても、その種の目的に悪用可能な事が明らかな時点で大差無いわけですけれども。

一応、現時点ではSuperfishで見られたような広告等への悪用は確認されていないとの事なのですが、気休めにもなりません。折角諸々の個人情報窃取の露見を通じてLenovoが信用を決定的に失って凋落し、相対的にDELLを含む競合メーカーにシェアが移りつつあった所に発覚した本件、まさかの自殺行為と言えるわけですが、さてユーザーはどう受け止めるのでしょうか。自分で自分の首を締めるのは勝手ではあるのですが、ユーザーに取っては困った話なのです。

個人的には、LinuxがメインOSかつ自作が大半につき実際の所影響はないのですけれども、それでも古くて対象外ながらDELL製のPCも保有してはいますし、気分はよろしくありませんね。別に信じていたわけではありませんが、それでもLenovoよりは信頼出来るだろうと思っていました。誠に残念です。

Two Dell laptop models are shipping with a Superfish-style certificate hack

[関連記事 [IT] Lenovo製PCのスパイウェアsuperfish疑惑確定]