新しいレノボのパソコンにプリインストールされているアドウェアがセキュリティ上の懸念を引き起こす
レノボは今週、一部の消費者向けデバイスに、ユーザーのウェブ閲覧セッションにサードパーティの広告を挿入し、それらのコンピュータを攻撃にさらす可能性のあるアドウェアをプリインストールしたことで非難を浴びている。
Superfishと呼ばれるこのソフトウェアは、2014年9月から12月にかけて、一部のLenovo製コンシューマー向けノートパソコンにプリインストールされていました。ユーザーがコンピューターの初回起動時にこのソフトウェアを有効にすると、ユーザーのブラウジング行動を監視し、状況に応じた広告を表示します。また、自己署名ルートSSL証明書もインストールされるため、このソフトウェアはユーザーの安全なウェブブラウジングセッションでさえも監視できるようになります。
GeekWire宛てのメール声明の中で、レノボの広報担当者ウェンディ・ファン氏は、このソフトウェアは「ユーザーの行動をプロファイリングしたり監視したり」、ユーザーの情報を記録することはないと述べました。その後、レノボはSuperfishとのサーバー側でのやり取りを無効化し、ソフトウェアの広告配信機能は無意味なものとなりました。
セキュリティ研究者によると、これはSuperfishが作り出したセキュリティホールを解消するものではないという。Chromeのセキュリティを担当するGoogleエンジニア、クリス・パーマー氏は、Superfishの機能に関する疑惑が浮上した後、ベストバイでLenovo Yogaの新型を購入した。バンク・オブ・アメリカのウェブサイトにアクセスしたところ、ブラウザは接続のセキュリティ保護にVeriSignではなくSuperfish署名の証明書を使用していた。Errata Securityのロブ・グラハム氏は、証明書の秘密鍵のパスワードを3時間で解読することに成功した。グラハム氏によると、同じことを行えば、攻撃者はSuperfish証明書がインストールされたコンピュータからの安全な通信を傍受できるはずだという。
一方、Lenovo は Superfish のセキュリティへの影響については懸念していない。
「この技術を徹底的に調査しましたが、セキュリティ上の懸念を裏付ける証拠は見つかりませんでした」とファン氏は述べた。(追記: レノボはその後、オンライン上の声明からセキュリティ上の懸念に関する文章を削除した。)「しかし、ユーザーがこの問題に懸念を示したことは承知しており、このソフトウェアを搭載した製品の出荷を停止するという直接的な措置を講じました。ユーザーのニーズ、体験、そして優先事項を最優先にするため、今後も引き続き、当社の取り組み内容と方法を見直していきます。」
ファング氏はスーパーフィッシュのセキュリティ問題についてのさらなる質問には答えなかった。
Superfish の影響を受けているかどうかを確認したい方は、Filippo Valsorda 氏が開設したこちらのウェブサイトをご利用ください。Lenovo はサポートフォーラムで、Superfish のアンインストールに関心のあるユーザー向けのガイドを公開していますが、ルートセキュリティ証明書はアンインストールされないので注意してください。(更新: Lenovo は証明書を含む削除手順を更新しました。こちらを参照)
更新: Lenovo は、Superfish がプリインストールされている可能性のあるコンピュータ モデルのリストを公開しました。
Superfish は、次のモデルに登場している可能性があります:
G シリーズ: G410、G510、G710、G40-70、G50-70、G40-30、G50-30、G40-45、G50-45
U シリーズ: U330P、U430P、U330Touch、U430Touch、U530Touch
Y シリーズ: Y430P、Y40-70、Y50-70
Z シリーズ: Z40-75、Z50-75、Z40-70、Z50-70
S シリーズ: S310、S410、S40-70、S415、S415Touch、S20-30、S20-30Touch
Flex シリーズ: Flex2 14D、Flex2 15D、Flex2 14、Flex2 15、Flex2 14(BTM)、Flex2 15(BTM)、Flex 10
MIIXシリーズ: MIIX2-8、MIIX2-10、MIIX2-11
YOGAシリーズ: YOGA2Pro-13、YOGA2-13、YOGA2-11BTM、YOGA2-11HSW
Eシリーズ: E10-30
影響を受ける人は、ここにある Lenovo の新しい削除手順に従ってください。
更新 2: Lenovo は Superfish の失態に関して新たな声明を発表しました。
レノボは、お客様に優れたユーザーエクスペリエンスを提供するために全力を尽くしています。何百万人ものお客様が日々レノボのデバイスをご利用いただいていることを理解しており、すべてのお客様に品質、信頼性、革新性、そしてセキュリティを提供することが私たちの責任です。ユーザーエクスペリエンスの向上を目指し、一部のコンシューマー向けノートパソコンにサードパーティ製ソフトウェア「Superfish」(カリフォルニア州パロアルトに拠点を置く)をプリインストールしました。
Superfishの意図通り、この製品はショッピング体験を向上させると考えていました。しかし、私たちの期待とお客様の期待には応えられませんでした。実際には、ソフトウェアに関してお客様から苦情をいただきました。こうした懸念が表明され次第、迅速かつ断固たる対応をいたしました。いかなる理由においても、お客様にご迷惑をおかけしたことをお詫び申し上げます。私たちは常に経験から学び、サービス内容と方法の改善に努めてまいります。
1月よりプリロードを停止しました。また、ソフトウェアを有効にするサーバー接続も1月に停止しました。また、ユーザーがこのソフトウェアを削除するためのオンラインリソースを提供しています。さらに、Superfishをはじめとする業界パートナーと直接連携し、現在および将来起こり得るセキュリティ問題への対応に取り組んでいます。これらの活動とソフトウェア削除ツールに関する詳細は、以下をご覧ください。
http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall
明確に申し上げますが、LenovoはThinkPadノートブック、Lenovoデスクトップ、スマートフォンにこのソフトウェアをインストールしたことは一度もありません。また、サーバーやストレージといったエンタープライズ製品にもインストールされたことはなく、これらの製品には一切影響はありません。また、SuperfishはLenovoデバイスにインストールされていません。さらに、今後数週間かけてこの問題を徹底的に調査し、改善点を探っていきます。パートナー企業、業界の専門家、そしてユーザーの皆様と話し合い、フィードバックをいただきます。今月末までに、アドウェア、プリインストール、セキュリティを取り巻く問題に対する知識と理解を深め、より一層注力することで、Lenovoと業界を前進させるための計画を発表します。私たちは、製品、ユーザーエクスペリエンス、そしてこの新たな取り組みの結果に対して、責任を負いたいと思っています。
更新 3: Lenovo はこの問題について別の声明を発表しました。
昨日お伝えした通り、LenovoはSuperfishに関する懸念をユーザーの皆様に解消していただくために、あらゆる対策を検討しております。そこで本日、新たに以下の2つの対策を実施いたします。
1) 現在オンラインで公開されている手動削除手順に加え、ソフトウェアと証明書の削除を支援する自動ツールもリリースしました。ツールはこちらです:http://support.lenovo.com/us/en/product_security/superfish_uninstall
2) McAfeeおよびMicrosoftと協力し、業界をリードするツールとテクノロジーを用いて、Superfishソフトウェアと証明書を隔離または削除する作業を進めています。これらの作業は既に開始されており、現在問題を認識していないユーザーにとっても、脆弱性が自動的に修正されます。
ユーザーからの苦情を受け、1月にSuperfishのプリロードを停止し、サーバー接続を遮断しました。しかし、この潜在的なセキュリティ脆弱性については昨日まで認識していませんでした。現在は修正に注力しています。
それ以来、私たちは現在把握している情報に基づき、可能な限り迅速かつ断固とした対応を行ってきました。この問題はThinkPad、タブレット、デスクトップ、スマートフォン、エンタープライズサーバー、ストレージデバイスには一切影響しませんが、Lenovoのすべてのお客様にお知らせする必要があることを認識しています。何らかの理由でお客様にご心配をおかけしたことをお詫び申し上げます。私たちは経験から学び、対応内容と方法を改善していきます。問題となっているソフトウェアと、それに関連する脆弱な証明書をお客様が容易に削除できるよう、引き続き対策を講じていきます。これにより、お客様が期待し、当然受けるべき安心感を持って、引き続きLenovo製品をご利用いただけるようになります。
