Lenovo製品にマルウェア搭載で同社が対策を開示

　2014年9月から12月にかけて出荷されたLenovo製コンシューマ向け製品に「Superfish」と呼ばれるセキュリティ上問題のあるソフトがプリインストールされていたことが明るみに出た。同社は2月19日(米国時間)付けで、現在ではその搭載を停止していることを発表するとともに、プリインストールされていた場合の対策を開示した。

　Superfishは、Lenovoによれば、「オンラインショッピングを行なう際に、ユーザーが興味ある製品をみつけるのを手助けするソフト」とされ、一時期の製品に搭載されていた。だが、このソフトは、自身で署名しローカルに保存したルート証明書を使って、HTTPS通信を傍受することから、暗号化通信に甚大な脅威をもたらす脆弱性がある。

　Superfishの挙動は一般的に悪意のあるマルウェアと呼ぶに相応しいものだが、同社の見解は「我々は本アプリケーションを徹底的に調査しましたが、セキュリティ上の懸念を実証するいかなる証拠も見つかりませんでした。ユーザーのフィードバックがポジティブなものでなかったため、迅速にその対応をしました」という自己肯定的なもので、ユーザーに対する謝罪は見受けられない。

　同社は1月の時点でSuperfishのプリインストールを停止しており、サーバーとの通信も遮断。今後、同ソフトをプリインストールをすることはないとしている。

　対象となる製品は、G/U/Y/Z/S/Flex/MIIX/YOGA/Eシリーズと、コンシューマ向けのPC、タブレットの大多数だが、ThinkPadシリーズは含まれない。

　ソフトは「プログラムのアンインストールと変更」から通常の手順でアンインストールできるが、これだけではローカルのルート証明書は削除されない。「コンピューター証明書の管理」から、「信頼されたルート証明機関」→「証明書」と開き、「Superfish,Inc.」を削除する。

【13時40分追記】記事掲載後に英文の見解が大幅に変更され、「We apologize for causing any concern to any users for any reason - and we are always trying to learn from experience and improve what we do and how we do it.」(我々は、どのような理由であれ、全てのユーザーに対して引き起こした全てのご迷惑に対して謝罪します。また、我々は常に経験から学習し、我々が行なうこと、およびそのやり方を改善していきます)との追記がなされた。

　加えて同社は、今後数週間かけて問題を再調査し、パートナーおよび業界のエキスパート、ユーザーと話し合いを行なっていくほか、2月末までに、さらなる対策を発表するとしている。

　また、ThinkPad以外にも、デスクトップ、スマートフォン、エンタープライズ向けサーバー/ストレージにもこのソフトがインストールされていないことを明記した。

【15時20分追記】この件に関して、NECとLenovoの両出資であるLenovo NEC Holdings B. V.の子会社となるNECパーソナルコンピュータから、Superfishが同社の製品にプリインストールされたことは一切ないとのコメントが得られた。

Superfish証明書の削除方法(画面は英語版)