世界的に大きなシェアを持つ中国のパソコンメーカー『レノボ(聯想集団)』が2014年後半に販売したノートパソコンに、セキュリティ上の危険があるアプリケーション『Superfish』がプリインストールされていたとされる問題で、レノボは同アプリ搭載機種の出荷停止と、Superfish削除ツールの提供を発表しました。
どのような危険があるのか?
ユーザーの情報を収集し、広告を表示する
Superfishは、閲覧しているウェブサイトの情報を読み取り、それに対応した広告を表示するというもので、こうした広告表示ソフトは「アドウェア」と呼ばれています。また、ユーザーへの告知なしに情報収集をする「マルウェア(悪意のあるプログラム)」にあたると指摘する声もあるようです。
暗号化通信の取り扱いに問題がある
それだけではなく、Superfishは暗号化されたウェブサイトに対しても広告を出せる仕組みを持っており、これを攻撃者に悪用された場合「中間者攻撃」と呼ばれる暗号通信の盗み見を許してしまう恐れがあることも問題とされています。
レノボ社の見解は?
詳細は上のリンクを参照いただくとして、レノボが発表したSuperfishに関する見解を要約すると、
・ショッピング体験向上のためにSuperfishを入れたが、顧客の期待に応えられなかった
・Superfishのインストールと有効化サーバーは、1月の時点ですでに停止している
・今後将来にわたりレノボ製品にSuperfishがプリインストールされることはない
つまり「悪気はなかった、もう危険はない」という主張のようですね。しかし一方で、別のサポートページ(Superfishの脆弱性)には
「Superfishは自己署名証明書を用いてHTTP(S)通信を傍受します。この自己署名証明書はローカルのルート証明書ストアに保管されて、セキュリティ上の懸念点になります」
と、ちょっと怖い用語が並んでいて、やはり自衛のためにはSuperfishの削除が必要なことに変わりはないようです。
対象機種と対処方法は?
対象となる機種:
2014年9月から12月に出荷された、G シリーズ、U シリーズ、Y シリーズ、Z シリーズ、S シリーズ、Flex シリーズ、MIIX シリーズ、YOGA シリーズ、E シリーズ の一部
サポートページから抜粋すると、Superfishが入っている可能性があるのは上のノートPC各機種。ビジネスユーザーに愛用者の多いThinkPadシリーズ等は含まれていない模様です。さて、肝心の削除方法ですが、レノボから提供されている自動削除ツールを利用する方法に加えて、手動で削除する手順も公開されています。
ここでポイントとなるのは、Superfish本体だけでなく、必ず「Superfish証明書」というファイルも削除すること。現在のバージョンの自動削除ツールは証明書も一括削除してくれるようですが、特に手動アンインストールをする人は忘れないように注意してください。
レノボといえば、IBM時代に日本のパソコンユーザーにとって信頼のブランドだった『ThinkPad』ブランドを保有している企業。思い入れのあるユーザーにとって今回の問題はショックが大きいかもしれませんね。信頼回復に向けた努力に期待したいところです。
Superfishに関するレノボの見解 [レノボジャパン公式サイト]