更新:新しい Dell コンピュータ内の不正なルート証明書 (オンラインでの銀行取引やショッピングを監視できる証明書) は、削除されたとしても自動的に再インストールされます。
El Regは、週末に発見されたeDellRootルートCA証明書が、Windowsオペレーティングシステムから削除されても自動的に再表示されることを確認しました。サンフランシスコオフィス向けに今年7月に購入したWindows 8搭載のInspiron 15シリーズのノートパソコンでこれを試しました。
危険な証明書を見つけるには、スタートメニューを開いて「ファイル名を指定して実行」を選択し、ボックスに「certmgr.msc」と入力してEnterキーを押します。次に、左側の「信頼されたルート証明機関」フォルダを開き、「証明書」と選択すると、ウィンドウに「eDellRoot」が表示されます。これが探していた証明書です。それを右クリックし、「削除」をクリックし、警告ボックスをクリックして削除します。これで消えます。
その後、再起動し、Windows証明書マネージャーであるcertmgr.mscを再度開き、「eDellRoot」という証明書を検索します。すると、なんと、証明書が復活していました。脆弱な証明書がインストールされているかどうかをテストするウェブサイトの1つにアクセスすると、削除されたルートCA証明書が再起動中または再起動後に復元されたことが分かります。
Lenovoは今年初め、MicrosoftのWindows Platform Binary Tableを利用したブロートウェアで同様のトリックを実行しました。Dellがどのようにして失われた証明書を復元するかは、現時点では不明です。
しかし、翌日にはまた戻ってきました。えーっと、再起動です…Dell の eDellRoot 証明書は消えません (クリックして拡大)
つまり、Windows上で脆弱なルートCAファイルを削除する推奨手順は機能せず、再起動するとコンポーネントが再び表示されることになります。Dellが4月に発行し、2039年に有効期限が切れるこの証明書には、抽出可能な秘密鍵が含まれており、これを悪用すれば、LenovoのSuperfish cluster-fsckのような中間者攻撃をDellユーザーに対して実行できる可能性があります。
たとえば、カフェ、病院、空港などの悪意のある Wi-Fi ホットスポットを介して Web に接続すると、ユーザー名、パスワード、セッション Cookie、その他の機密情報が、影響を受ける Dell マシンから密かに抜き取られる可能性があります。
最近の XPS、Precision、Inspiron モデルをお持ちの方は、Mozilla の Firefox を使用して Web を閲覧してください。このソフトウェアには独自の信頼できる証明機関のセットがあり、危険な eDellRoot 証明書を無視します。
注意:ローカルルートCAは証明書ピンニングを上書きします。HSTSを使用したSSLハイジャックに対する防御は機能しません。
— SecuriTay (@SwiftOnSecurity) 2015年11月23日
Dellのサポート窓口は、この証明書は「システムにいかなる脅威も及ぼさない」と説明している。Twitterでは、「顧客のセキュリティとプライバシーはDellにとって最優先事項です。現在この問題を調査中で、近日中に最新情報をお知らせします」とツイートした。
El Reg 社は、まだ Dell からの説明の返答を待っています。®
1610 PT / 0010 GMT に追記しました
Duo Securityによる分析[PDF]によると、バンドルされているプラグインは、ルートCAファイルが削除された場合に再インストールするようです。まず、Dell.Foundation.Agent.Plugins.eDell.dllシステムからeDellRootルートCA証明書を削除(検索)し、その後削除する必要があります。
この証明書は、暗号で署名されたテレメトリ要求を受信するためのプラグインで使用されるとのことです。このテレメトリには、マシンのサービス タグ、個々のマシンではなくコンピューター モデルを識別する 7 文字のシリアル番号などが含まれます。
「これは、OEM(相手先ブランド製造)ハードウェアベンダーにおける憂慮すべき傾向を浮き彫りにしています。証明書ストアの改ざんは、ユーザーを不必要なリスクにさらすことになります」と、Duoチーム(ダレン・ケンプ、ミハイル・ダビドフ、カイル・レディ)は報告書に記しています。
証明書ストアの改ざんは疑わしい行為であり、OEMは新しい信頼できる証明書、特にルート証明書を追加する際には注意が必要です。残念なことに、OEMメーカーは過去の失敗から学ばず、同じ過ちを繰り返しているようです。
