目次
HP のノートPCにキーロガーがプリインストールされている!?
2017年12月8日(現地時間)に、The Hacker Newsにてセキュリティ研究者であるWang Wei氏が、HPの実に470機種以上のノートPCにキーロガーがプリインストールされている、という衝撃的な調査結果を報告しました。
氏によると、HPのノートPCにキーロガーがインストールされている、と主張するツイートが散見されたので、詳細を追ってみることにした事がきっかけだと話しています。
以前にも似たようなケースが発生
以前HPが偶然にも、自社製品にキーロガーまたはスパイウェアをプリインストールしていた、という手痛い過去があります。
その時も、HP社に悪意は無かった物の世間を大きく賑わせました。今回の発見が悪意の無い物であっても、短い期間に2回も同じようなミスを繰り返したとなると、HP社の高い信頼が揺らいでしまいます。
パスワードからクレジットカードまで何から何まで盗み出せてしまう可能性
どうやら、今回のキーロガーを発見したのは、Wang Wei氏ではなく、セキュリティ研究者であるZwClose氏であるとのことでした。
今回のキーロガーはSynapticsのタッチパッドドライバの一部である「SynTP.sys」に組み込まれており、影響を受ける機種は470機種以上にものぼるとされています。
Synapticsのタッチパッドは非常に大きなシェアを誇っており、HP社以外にも採用しているケースが多く見られます。もし仮にこのキーロガーが、HP社のカスタマイズにより混入してしまったのではなく、Synaptics社が誤ってドライバに混入させてしまったのであれば、HP社だけでなく他のメーカーの機種でも同様の問題が発生する恐れがあります。
デフォルトでは無効になっているものの・・・
幸いにもこのキーロガー機能は、デフォルトでは有効になっているのですが、ユーザーアカウント制御(UAC)をバイパスしてレジストリ値を変更し、キーロガーを有効化させるオープンソースのツールが出回っています。
そのため、デフォルトで無効になっていたとしても、様々な攻撃と組み合わせることで、キーロガー機能をいつの間にか有効化されてしまう、といった自体になりかねません。
キーロガー機能の有効化、無効化設定を行うレジストリキーは以下の2つとのこと。
HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default
※HKLM=HKEY_LOCAL_MACHINE
[aside type=”normal”]
%ProductName%はSynTPかPointerPortのどちらかで、DWORD値のようです。
[/aside]
既にHP社へ通告済みで、アップデートもリリース済み
ZwClose氏はこの問題を既に先月HP社へ通告済みで、HP社は悪意を持って実装したのではなく、本来であれば削除されていたはずのデバッグ機能が誤って残っていたとのことでした。
既にHP社は対象のノートPCに対してドライバのアップデートを配信済みで、HP社のサポートページからダウンロードできるようになっているとのことでした。
しかしながら、Synapticsのタッチドライバを自動更新させることが難しいこと、対象デバイス数が多すぎることから、このキーロガーを根絶させるには大変な労力がかかるものと推定されます・・・
Synapticsタッチパッドを搭載しているデバイスに影響が出る
本記事でもHP社だけの問題では無く、Synapticsのタッチパッドを搭載した機種全てに影響が出るのでは無いか、と記載しましたが、HP社によるとこの問題は、Synapticsを導入している他のOEMパートナー全てに影響がでるもので、Synapticsドライバの特定のバージョンで発生する問題だ、と述べています。
なお、今回の問題に影響が出るHP社のデバイスは、HP社のSecurity Bulletinとして公開されています。
まとめ
年末にどえらい問題をぶちかましてくれましたね・・・ Synapticsのシェアは非常に大きいため、他のメーカーにも非常に大きな影響を与える物と推測されます。
企業内などでPCクライアントを管理している方に取っては、非常に頭の痛いニュースでした・・・
Source: Bytes on ZwClose | THE Hacker News | HP