レノボに続き、デルのPCとノートパソコンにも不正なルートレベルCAが搭載されている

デルが不正なルートCAを搭載したノートパソコンを出荷、レノボとスーパーフィッシュで起こったことと全く同じ

レノボのPCやノートパソコンに搭載されたスーパーフィッシュのブloatwareに対するユーザーからの反発が、他のメーカーが同様の事前搭載されたブloatwareをインストールすることを思いとどまらせていないようです。デルも、そのような不正なブloatwareを事前にインストールしたPCとノートパソコンを出荷している大手メーカーの一つです。

Twitterユーザーのジョー・ノードは、デルのPCとノートパソコンには不正なルートレベル証明書が搭載されていることを発見しました。

新しいコンピュータ、信頼されたルート証明書のリストに「eDellRoot」があります。2039年まで有効です。あまり良い気分ではありません。 pic.twitter.com/HqpatkwrSZ — ジョー・ノード (@jhnord) 2015年11月2日

ノードはeDellRootについて説明するウェブポストを作成しました。彼は、eDellRootによって実行されるアクションは現在知られていないが、スーパーフィッシュと同じカテゴリにあるかもしれないと言います。彼は「eDellRoot証明書は2039年に期限切れになる信頼されたルートであり、「すべて」の目的のために意図されています。これは、上にある明らかに正当なDigiCert証明書よりも強力であることに注意してください。これはより多くの好奇心を引き起こします。」と言います。

この不正なルートレベルCAの問題は、レノボのスーパーフィッシュのように、ユーザーの同意なしにレノボのPCやノートパソコンにアドウェアを注入することが知られていたのとは異なり、どのようなスパイ活動を行うかが不明であることです。

ノードはさらに証明書を調査し、「この証明書に対応するプライベートキーを持っています」と述べました。「これは非常に怪しいです！ユーザーのコンピュータとして、ルートCAに対応するプライベートキーを持つべきではありません。証明書を発行するコンピュータだけがプライベートキーを持つべきであり、そのコンピュータは…非常に良く保護されているべきです！」

「これはスーパーフィッシュと同じ行動であり、その場合、レノボはすべてのコンピュータで同じプライベートキーを使用するという非常にひどい行動を取りました。デルも同じことをしたのでしょうか？」

別のユーザー、Rotorcowboyは不正なルートレベルCAについてRedditで詳細なスレッドを作成しました。以下にその投稿を再現します：

私はデルから新しいXPS 15ノートパソコンを手に入れ、問題をトラブルシューティングしようとしたところ、eDellRootという名前の自己署名ルートCAが事前にインストールされていることを発見しました。それには、エクスポート不可としてマークされたプライベートキーが付属していました。しかし、いくつかの利用可能なツールを使用することで、プライベートキーの生のコピーを取得することはまだ可能です（私はNCCグループのJailbreakツールを使用しました）。これを発見した他の誰かと簡単に話し合った後、私たちは、彼らが配布するすべてのノートパソコンに全く同じルート証明書とプライベートキーを搭載していることを確認しました。これはレノボのコンピュータでスーパーフィッシュが行ったことと非常に似ています。知らない方のために、これは最近のすべてのデルの顧客を危険にさらす重大なセキュリティ脆弱性です。デルは、スーパーフィッシュが何をしていたかを発見したときにレノボがどのような悪評を受けたかを見ていたに違いありません。それでも、彼らは同じことをすることを決定しましたが、さらに悪化させました。これはそこに置かれたサードパーティのアプリケーションではなく、デル自身のブloatwareからのものです。さらに悪いことに、証明書がどのような目的であるかは明らかではありません。少なくともスーパーフィッシュの場合、彼らの不正なルートCAがあなたのウェブページに広告を注入するために必要であることはわかっていましたが、デルのものがそこにある理由は不明です。最近デルのコンピュータを購入し、影響を受けているかどうかを確認したい場合は、スタート -> 「certmgr.msc」と入力 -> (UACプロンプトで承認) -> 信頼されたルート認証機関 -> 証明書に移動し、「eDellRoot」という名前のエントリがあるかどうかを確認してください。もしそうなら、おめでとうございます、あなたはデルにやられました、あなたがコンピュータのために支払ったその会社に！私が自分のマシンで見つけた証明書、プライベートキー、およびPFXファイルへのリンクがあります。PFXファイルのパスワードは「dell」です。（証明書自体はeDellRoot.crtファイルにあります。何をしているかわからない限り、PFXファイルをインポートしないでください。便利のために含めただけです。）あなたのものがeDellRoot証明書と一緒に来た場合、そのサムプリントはおそらく次のようになります：``` 98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

そしてそのシリアル番号は：```
6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

デルがこれを行うとは残念であり、レノボが顧客や米国国土安全保障省から受けた反発にもかかわらず、私は本当に彼らがこれを修正するために迅速に何かを行うことを望んでいます。知っている人が多ければ多いほど、声を上げる人が多ければ多いほど、早く実現するでしょう。

この証明書がデルコンピュータ株式会社から来たかどうかは不明です。すべてのルート証明書は常に自己署名されているため、eDellRootはeDellRootが正当な証明書であると言います。しかし、コンピュータにプライベートキーが記録されているのは悪いことです。

RotorcowboyはTwitterでデルに連絡し、@DellCaresはそれが信頼された証明書であると言っています。

@DellCares これは重大なセキュリティの懸念です。特に、あなたの顧客全員が自分のマシンに全く同じCAを持っているからです。(1) — ケビン・ヒックス (@rotorcowboy) 2015年11月22日

これは単なるルートレベルCAであり、スーパーフィッシュのような完全なレベルのスパイウェアではないと言う人々のために、rotorcowboyは「私は多くの人々がこのCAが実際に何もできないという点で懐疑的であると読んでいます。このCAは実際にサーバー証明書に署名できることがわかりました。上記のファイルのリストを更新し、ファイル名「badgoogle.crt」のCAによって発行された証明書を含めました。これはこのスクリーンショットでも見ることができます。この仕組みを知らない方のために、ネットワーク攻撃者はこのCAを使用して実際のウェブサイトで使用するための偽の証明書に署名することができ、影響を受けたデルユーザーは、ウェブサイトの証明書チェーンを確認しない限り、何も気づかないでしょう。このCAは、人々のマシンで実行されるコードに署名するためにも使用できますが、私はまだこれをテストしていません。」

デルはこれまでのところこの問題についてコメントしていません。私たちはデルにコメントを求めています。その間に、デルのPC/ノートパソコンの所有者は、Rotorcowboyが示した方法に従って、自分のPC/ノートパソコンに不正な証明書があるかどうかを確認するように求められています。