セキュリティ企業のDuo Securityは5月31日、主要OEM各社がPCにプリインストールしている更新ツールなどの実態に関する調査報告書を公表し、全社の更新ツールに危険度の高い脆弱性が少なくとも1件見つかったと発表した。

こうしたプリインストールソフトは「クラップ（ゴミ）ウェア」や「ブロート（膨張）ウェア」と呼ばれ、以前から危険性が指摘されていた。Lenovoの「Superfish」やDellの「eDell Root」などの深刻な脆弱性も相次いで発覚している。

Duo Securityの実態調査では、Acer、Asus、Dell、Hewlett-Packard（HP）、LenovoのPCにプリインストールされているソフトウェアについて調べた。

その結果、調査対象とした全PCにサードパーティー更新ツールが搭載されていることが判明。全社の更新ツールに危険度の高い脆弱性が1件〜2件見つかったほか、HPのツールには危険度中〜低の脆弱性も5件、Asusのツールでは中程度の脆弱性1件が発見されたという。

こうしたプリインストール版更新ツールの脆弱性を突かれれば、中間者攻撃を仕掛けられて任意のコードを実行され、システムを制御される恐れもあるとDuo Securityは解説する。

さらに、一部のメーカーは更新ツールのトラフィックをTLSで暗号化するなどの基本的なセキュリティ対策も実装していなかったという。セキュリティ対策を試みていても、実装上の問題や設定問題に足を取られている実態が判明したとしている。

Copyright © ITmedia, Inc. All Rights Reserved.