レノボが自社製 PC に悪質なアドウェア「Superfish」を載せて出荷した話

 何日も前の話ですが,別に速報したいわけでもないので気ままにメモ。経緯も面倒なので端折ります。上のリンクを見てください(丸投げ)。
 19日ごろから,レノボ製 PC の現行モデルの多くに「Superfish」という非常に悪質なアドウェアが組み込まれているということが大きな話題となり,レノボに批判が集まりました。内容や問題点については以下のページが詳しいですが,簡単に言えば,サーバとブラウザの間の通信を勝手に盗み見て改竄する(広告を挿入する)というもので,この機能を実現するために独自の証明書が信頼できる証明書として登録されてしまっているのですが,そのやり方がむちゃくちゃで,秘密鍵が抽出でき,悪用し放題となってしまっているというのです。

Superfishが危険な理由 – めもおきば

 Superfish がここまで問題視されているのは,技術的にあまりにお粗末で,第三者による悪用のリスクが非常に高いためでしょう。シュリンクアップ契約のようなものであれ,流石に何らかの合意は取ってあるでしょうから,合法ということにはなるはずです。しかし,もし仮にもっとうまく作られていたとして,リスクが限りなく低く保たれていたとしても,やはり企業として超えてはいけない一線を超えてしまっていると思います。暗号化通信への介入は,その当人のみならず通信の相手の機密をも侵すものですから,本来,片方の当事者のみの合意によって正当化されるべきものではありません。どうしようもない場合もあるでしょうが,それにしても,ウイルス対策など社会的に大きな意義のある目的に基づく場合について,必要最小限の通信を対象とすべきであり,かつ前提として,他に現実的に取りうるよりマシな選択肢がない必要があるはずです。しかも,パターンマッチングなどによる,安全保障上の危険分子や違法なファイルの共有者などの炙り出しのための非公開のファイルの“機械的検閲”が,少なくとも米国や中国などにおいては,事前・個別の令状取得や本人の合意がなくとも合法なものとして認められ,横行しているのが現実です。この文脈上,暗号化通信への介入への問題は人権としての表現の自由とそれに由来する通信の秘密についての問題にも繋がりうるものです。Superfish は暗号化通信を不必要に広範に暴くものであり,ただ単に「脆弱性を作りこんだ」という以上の意味があります。
 しかしまあ,暗号化通信への介入と書き換えという極めて重大な意味を持つ行為が,ただ単に広告を挿入するためだけに実行されたことも,この業界における消費者とメーカー・ソフトウェアベンダーの力の関係からすれば何ら怪しむには当たらないでしょう。なにせ,ユーザーのプライバシーについて,法律に規定されたごく最低限のものを除き殆どあらゆる権利がメーカー・ソフトウェアベンダーに留保され,ユーザーすなわち消費者の権利は彼らの EULA の書き方と良心にかかっているという状況なのです。「お客様は神様です」も考えものだとは思いますが,お客様が家畜か何かのように扱われるのはもう問題外でしょう。極端な例として,ここ数年,ロシア政府やドイツ政府がタイプライターの導入を検討しているというニュースが流れ 1,笑い話のように語られてきましたが,このいびつな業界慣行が是正されないままであれば,これが笑い話でなくなり,「機密情報は PC では扱わない」が常識となるのもそう遠い未来の話でもないかもしれません。

最後に,EFF 2 と MIAU 3 と Debian 4 の寄付ページヘのリンクを貼ってみたり。
Donate to EFF | Electronic Frontier Foundation
MIAU : 寄付のお願い
Debian — Donations

Notes:

  1. In the name of security, German NSA committee may turn to typewriters | Ars Technica
  2. 電子分野におけるユーザーの権利を守ることを目的とする米国の非営利団体で,世界的な影響力を持つ
  3. EFF と類似の目的に立つ日本の団体
  4. 特に影響力のある Linux ディストリビューションのひとつで,コミュニティにより民主的に開発され,Ubuntu や Linux mint のベースにもなっている

コメントを残す

メールアドレスが公開されることはありません。