Dell製PCで確認された勝手ルート証明書問題(Superfish2.0とも呼称されている)の関連情報をまとめます。
Dellの公式見解・サポート情報
- 更新:弊社PC証明書脆弱性について(eDellRoot証明書ならびにDSDTestProvider証明書)
- 弊社PC証明書脆弱性について(eDellRoot証明書)
- Dell System Detect Security Update
- Response to Concerns Regarding eDellroot Certificate
- Information on the eDellRoot certificate and how to remove it from your Dell PC
- Information on the eDellRoot and DSDTestProvider certificates and how to remove them from your Dell PC
Superfish2.0の概要
経緯
| 日時 | 出来事 |
|---|---|
| 2015年11月2日 | 「eDellRoot」がルート証明書にインストールされていることをユーザーが発見。 |
| 2015年11月22日 | 他ユーザーの検証を通じこの証明書が複数のDell製PCにインストールされている可能性。 |
| 〃 | ユーザーからの問い合わせを受けてDellが調査を開始。 |
| 2015年11月23日 | Dellが問題の内容や証明書の削除手順を公開。 |
| 2015年11月24日 | ユーザーが「DSDTestProvider」の証明書でも同様の問題を発見。CERT/CCが脆弱性情報を公開。 |
| 2015年11月25日 | Dellが「DSDTestProvider」の問題を解決するためのツール、及び手順を公開。 |
| 2015年12月1日 | Dellがこの問題に関して詳細情報を公開。 |
問題
eDellRootの証明書
- 証明書は「Dell Foundation Services」に含まれているソフトウェアにより格納された。問題のソフトウェアは11月24日付で更新されている。
- 証明書は顧客のオンラインサポート(モデル識別)を目的として使用されているもの。
- アドウェア等はプリインストールしていない。
- この証明書を用いて顧客の情報を集めることは行っていない。
DSDTestProviderの証明書
- 証明書は「Dell System Detect」に含まれているソフトウェアにより格納された。
- Dellの声明によれば2015年10月20日〜2015年11月24日にソフトウェアをダウンロードし、インストールした場合に影響を受ける。
- CERT/CCはこの証明書の削除を勧告している。
- プリインストールはされていない模様。
Dell System Detectとは何ですか?
http://www.dell.com/support/Article/us/en/19/SLN117738/JA
Dell System Detect(DSD)は、デル・サポート・サイトとやり取りするためのアプリケーションで、お客様の許可を得た上でWindowsベースのPCまたはタブレットで実行します。お客様に特化したよりよいサポートを提供することを目的にしています
脆弱性情報
CERT/CC
影響対象機種
確認されている影響対象まとめると次の通り。
| 問題の証明書 | 対象時期 | パスワード | |
|---|---|---|---|
| eDellRoot | 2015年11月20日〜23日の工場生産モデル 2015年8月18日以降にオンラインでDFSを更新した場合 |
dell | |
| DSDTestProvider | 2015年10月20日〜11月24日の間に自身でインストール (サポートを受けている時) |
不明 | |
| Atheros | プリインストール? (BlueTooth搭載機種) |
詳細不明 | t-span |
「eDellRoot」証明書のインストールが確認されている機種
Dellの発表により対象とされる機種
- 法人向けモデル Latitude、OptiPlex、Precision
- 個人向けモデル Insprion、XPS、Alienware、Vostro、Venue Pro
有志の検証等により確認されている機種
少なくとも次の機種で確認されている。尚、独自のシステムイメージを使用するOEM製品は影響を受けないと報じられている。
- Inspiron 5000(発見者のJoe Nord氏が購入した機種)
- XPS 13 (LAPTOP MAGにて確認された機種)
- XPS 15 (Reddit書き込みを行ったrotorc owboy氏が購入した機種)
- Inspiron 15 シリーズ 2015年7月モデル (The RegisterのOffice確認された機種)
- Inspiron 7000 (laptop and desktop) (Symantecの検証で確認された機種)
- Dell Orchid Touch (Symantecの検証で確認された機種)
- Dell t4034 (Symantecの検証で確認された機種)
国内販売機種でも確認されている模様。
やっちまったなDELL、国内版にも「eDellRoot」入ってましたよ。
これって、パスワードも抽出されてしまったのだろうか? pic.twitter.com/X9LMS16GG2
— Naomi Suzuki (@NaomiSuzuki_) 2015, 11月 242015年8月以降出荷されたモデルが対象である可能性
BrianKrebsがeDellRoot証明書が格納されているモデルが8月15日以降に出荷されたDell製PCが該当するとBlogで言及している。
発見者の投稿・Blog
New computer, "eDellRoot" in the list of trusted root certificates. Valid through 2039. Not a good feeling. pic.twitter.com/HqpatkwrSZ
— Joe Nord (@jhnord) 2015, 11月 2eDellRoot証明書の分析レポート
eDellRootに関する Duo Securityの分析レポート
https://t.co/sZDW8PTkYp (PDF)
— Masafumi Negishi (@MasafumiNegishi) 2015, 11月 24検証方法
格納されている証明書の確認
- 格納されている証明書にeDellRootが含まれていないかを確認する。
- スタートボタン⇒「certmgr.msc」と入力し実行⇒「信頼されたルート証明機関」をクリック⇒「証明書」をクリック
- 表示された証明書の発行先にに「eDellRoot」「DSDTestProvider」が含まれているか確認する。
検証サイトでの確認(現在のところeDellRootのみ)
- UAC等により格納情報が確認が出来ない場合、検証サイトにアクセスしてeDellRoot証明書がインストールされているか確認することが出来る模様。(piyokango未検証)
- 検証サイト(1) https://edell.tlsfun.de/
- 問題がない場合は次の表示となる
- 検証サイト(2)
People aren't upset about Dell shipping a root CA. They're concerned because the bundled(!) private key allows this: pic.twitter.com/GdVxyJqKtU
— Kenn White (@kennwhite) 2015, 11月 23- 検証サイト(3) https://dellrootcheck.detectify.com/
- 問題がない場合は次の表示となる
- 検証サイト(4) https://zmap.io/dell/
eDellRootが確認された場合の対応方法
(1) Dellが案内している方法
(2) 自身で削除する場合
- Dell製削除ツールにより自動で削除を行う場合
Dellより公開されている削除ツールをダウンロードして実行する。2つ公開されているが、No.2を実行すれば2つの問題が解決される。
| No | ツール名 | eDellRoot証明書 | DSDTestProvider証明書 |
|---|---|---|---|
| 1 | eDellRootCertFix.exe | 対応 | 非対応 |
| 2 | DellCertFix.exe | 対応 | 対応 |
- 手動で証明書を削除を行う場合
The Register によれば、Dell Foundation Servicesのdllファイルを削除した上で証明書を取り除かなかった場合、再度証明書がインストールされてしまうため、先にこのdllファイルを削除する必要がある。
| No | 手順 |
|---|---|
| 1 | サービスより「Dell Foundation Services」を探し、これを停止する。 |
| 2 | Dell.Foundation.Agent.Plugins.eDell.dllを探しこれを削除する。 ファイルの場所は「c:\Program Files\Dell\Dell Foundation Services」 |
| 3 | 「信頼されたルート証明機関、あるいは「個人」より証明書を選択し、「eDellRoot」「DSDTestProvider」を削除する。 |
| 4 | PCを再起動する。 |
Microsoftの対応
Windows Defenderでも問題の証明書が検出されるようになった。
| eDellRoot | Program:Win32/CompromisedCert.C |
| DSDTestDriver | Program:Win32/CompromisedCert.D |
Rotocowboy氏とDellサポートのやり取り
@rotorcowboy Hi Kevin, eDellRoot is a trusted certificate. Is there any issue from it? Please clarify to assist you. ^NB
— DellCares (@DellCares) 2015, 11月 22@rotorcowboy We understand your situation. We will reach out to our product group team and let you know as to why eDellroot is present. ^TM
— DellCares (@DellCares) 2015, 11月 22Redditに書かれた内容と高梨さんTweetメモ
- Dell ships laptops with rogue root CA, exactly like what happened with Lenovo and Superfish : technology(Reddit)
DELLもまたLenovoのSuperFishと同様のroot証明書を入れてPCを販売していることが明らかに。信頼されたroot証明書に "eDellRoot"が存在、2039年まで有効。今の所利用方法は不明。秘密鍵も存在。https://t.co/7mydDexSuc
— 高梨陣平 (@jingbay) 2015, 11月 24DellのPCに入れられた勝手ルート証明書と、private key、PFXファイル。これらが全てのDELLの最新PCの全てに入っている。PFXファイルのパスワードは"dell"。https://t.co/I5GalLW0FN
— 高梨陣平 (@jingbay) 2015, 11月 24https://t.co/chURwV7eNE eDellRootでサインしたgoogleの証明書の例。任意のサイト、コードに署名が可能に。
— 高梨陣平 (@jingbay) 2015, 11月 24eDellRoot証明書で署名されたマルウェア?
"Signed file, verified signature" ... signing by eDellRoot (#・∀・)
https://t.co/K8eDqsH1nm
https://t.co/QHgDtNJrqS pic.twitter.com/vYENgZJmHl
— Neutral8x9eR (@0x009AD6_810) 2015, 11月 25更新履歴
- 2015年11月24日 PM 新規作成
- 2015年11月24日 PM 概要を加筆、修正
- 2015年11月25日 AM 最新の情報を反映
- 2015年11月25日 AM DSDTestProviderの情報を反映
- 2015年11月26日 PM 最新の情報を反映
- 2015年11月27日 AM 影響対象の機種を「8月以降」へ修正
- 2015年12月1日 PM Dellの詳細発表の内容を反映
