1まとめらいぶ2016/06/02(木) 17:45:21.82ID:CAP_USER.net
【IT media エンタープライズ】



セキュリティ企業のDuo Securityは5月31日、主要OEM各社がPCにプリインストール
している更新ツールなどの実態に関する調査報告書を公表し、全社の更新ツールに
危険度の高い脆弱性が少なくとも1件見つかったと発表した。

 こうしたプリインストールソフトは「クラップ(ゴミ)ウェア」や「ブロート(膨張)ウェア」
と呼ばれ、以前から危険性が指摘されていた。Lenovoの「Superfish」やDellの
「eDell Root」などの深刻な脆弱性も相次いで発覚している。

 Duo Securityの実態調査では、Acer、Asus、Dell、Hewlett-Packard(HP)、
LenovoのPCにプリインストールされているソフトウェアについて調べた。

 その結果、調査対象とした全PCにサードパーティー更新ツールが搭載されている
ことが判明。全社の更新ツールに危険度の高い脆弱性が1件~2件見つかったほか、
HPのツールには危険度中~低の脆弱性も5件、Asusのツールでは中程度の脆弱性
1件が発見されたという。

 こうしたプリインストール版更新ツールの脆弱性を突かれれば、中間者攻撃を
仕掛けられて任意のコードを実行され、システムを制御される恐れもあると
Duo Securityは解説する。

 さらに、一部のメーカーは更新ツールのトラフィックをTLSで暗号化するなどの
基本的なセキュリティ対策も実装していなかったという。セキュリティ対策を試みて
いても、実装上の問題や設定問題に足を取られている実態が判明したとしている。
続きを読む