Interviews Brawte nfaq 0 Comments

有名ノートパソコンにセキュリティバグが蔓延しているという調査結果

Table of Contents

有名ノートパソコンにセキュリティバグが蔓延しているという調査結果

セキュリティ研究者らは、大手PCメーカーの多くが提供するコンピューターには、プリロードされたソフトウェアに簡単に悪用される脆弱性が数多く存在すると警告している。

Duo Securityの調査によると、ブロートウェアはシステムの起動を遅くするだけの厄介な存在ではなく、セキュリティリスクでもあることが示されています。Acer、Asus、Dell、HP、Lenovoのノートパソコンには、いずれもシステム全体のセキュリティ侵害につながる可能性のあるセキュリティ脆弱性が少なくとも1つ存在します。Duo Securityによると、これらの脆弱性のほとんどは、技術に詳しくないハッカーでも簡単に悪用できるとのことです。

Lenovo は、2014 年 9 月に一部のコンピューターに Superfish アドウェアをバンドルし始めてから、多大な非難を浴びました。Superfish アドウェアは、信頼されたルート証明機関 (CA) 証明書を持つ一部の Lenovo PC にインストールされ、攻撃者が HTTPS トラフィックを偽装できるようになりました。

2015 年初頭にスキャンダルが発覚したころ、US CERT が警告したように、Superfish VisualDiscovery がインストールされているマシンは、ブラウザーからの警告なしに SSL スプーフィング攻撃に対して脆弱になります。

Duo の調査によると、Superfish 論争は、複数のメーカーのプリインストールされたソフトウェアが関係する、より広範なセキュリティ問題の極端な例にすぎないことがわかっています。

「OEM ソフトウェアの状況は複雑で、ベンダー サポート、無料ソフトウェア トライアル、その他のベンダーが奨励する低品質のソフトウェアなど、不要なツールが大量に含まれています」と Duo Security の研究者は警告しています。

「一部のアプリは、Web ブラウザを起動して特定のサイトにアクセスするためのショートカットを追加するだけです。

OOBE(Out-of-Box Experience)は、多くの理由から多くの人にとって煩わしいものです。ディスク容量の浪費、RAMの消費、そしてユーザーエクスペリエンスの全般的な低下に加え、OEMソフトウェアはセキュリティに深刻な影響を及ぼすことがよくあります。例えば、Windowsプラットフォームバイナリテーブルを悪用し、Lenovoユーザーのパソコンに永続的なアドウェアをインストールするSuperfishな​​どが挙げられます。また、eDellRootの失態は、DellユーザーのWindowsルート証明書ストアに深刻な混乱をもたらしました。

二要素認証企業は、暗号化、具体的にはトランスポート層セキュリティ(TLS)の一貫した使用などの「単純な強化」によって、攻撃者のハードルが大幅に上がると見ている。

ノートパソコンのブロートウェア脅威マトリックス [出典: Duo Security]

Duo Security は、すべてのベンダーにわたって 12 の異なる脆弱性を特定し、報告しました。

  • Dell – 証明書のベスト プラクティスの欠如に関連する、eDellRoot と呼ばれる高リスクの脆弱性。
  • Hewlett Packard – 影響を受けるシステムで任意のコードが実行される可能性のある、高リスクの脆弱性が2件確認されました。また、中低リスクの脆弱性が5件確認されました。
  • Asus – 任意のコード実行を可能にする高リスクの脆弱性 1 件と、中程度の深刻度のローカル権限昇格の欠陥 1 件。
  • Acer – 任意のコード実行を可能にする 2 つの高リスクの脆弱性。
  • Lenovo – 任意のコード実行を可能にする高リスクの脆弱性が 1 つあります。

どのベンダーも、少なくとも 1 つの脆弱性を持つプレインストールされたアップデートを出荷しており、その結果、任意のリモート コードが実行され、影響を受けるマシンが完全に侵害される可能性があります。

「OEM アップデーターは権限が厳しく、悪用されやすく、リバースエンジニアリングも難しくない。セキュリティレビューが限られていることと相まって、攻撃者にとって完璧な状況を作り出している」と Duo 氏は結論付けている。

Duo の OEM アップデートに関する調査は、Darren Kemp、Chris Czub、Mikhail Davidov によってまとめられました。

El RegはDuoの調査結果をAcer、Asus、HP、Lenovoに伝え、コメントを求めたが、今のところ返答はない。Dellは記事の公開後、次のように回答している。

Duo Security社のレポートについては承知しております。お客様のセキュリティは、常にDellの最優先事項です。レポートで指摘されているDuo Security社と同様に、Dellも同社のテストで比較的良好な結果を得ており、引き続きソフトウェアのテストを継続し、発見された脆弱性を特定・修正していきます。Duo Security社をはじめとするセキュリティコミュニティの皆様には、協調的な脆弱性開示を通じてお客様を保護するために尽力いただき、感謝申し上げます。

®

ブートノート

アクセスしたキットには、Acer Aspire F15 (英国版)、Asus TP200S および Asus TP200S (Microsoft Signature Edition)、Dell Inspiron 14 (カナダ版) および Dell Inspiron 15-5548 (Microsoft Signature Edition)、HP Envy、HP Stream x360 (Microsoft Signature Edition) および HP Stream (英国版)、Lenovo Flex 3 および Lenovo G50-80 (英国版) が含まれていました。

Interviews

Smart Recommendations

Discover More