Lenovo製品にマルウェア搭載で同社が対策を開示

　2014年9月から12月にかけて出荷されたLenovo製コンシューマ向け製品に「Superfish」と呼ばれるセキュリティ上問題のあるソフトがプリインストールされていたことが明るみに出た。同社は2月19日(米国時間)付けで、現在ではその搭載を停止していることを発表するとともに、プリインストールされていた場合の対策を開示した。

　Superfishは、Lenovoによれば、「オンラインショッピングを行なう際に、ユーザーが興味ある製品をみつけるのを手助けするソフト」とされ、一時期の製品に搭載されていた。だが、このソフトは、自身で署名しローカルに保存したルート証明書を使って、HTTPS通信を傍受することから、暗号化通信に甚大な脅威をもたらす脆弱性がある。

　Superfishの挙動は一般的に悪意のあるマルウェアと呼ぶに相応しいものだが、同社の見解は「我々は本アプリケーションを徹底的に調査しましたが、セキュリティ上の懸念を実証するいかなる証拠も見つかりませんでした。ユーザーのフィードバックがポジティブなものでなかったため、迅速にその対応をしました」という自己肯定的なもので、ユーザーに対する謝罪は見受けられない。

　同社は1月の時点でSuperfishのプリインストールを停止しており、サーバーとの通信も遮断。今後、同ソフトをプリインストールをすることはないとしている。

　対象となる製品は、G/U/Y/Z/S/Flex/MIIX/YOGA/Eシリーズと、コンシューマ向けのPC、タブレットの大多数だが、ThinkPadシリーズは含まれない。

　ソフトは「プログラムのアンインストールと変更」から通常の手順でアンインストールできるが、これだけではローカルのルート証明書は削除されない。「コンピューター証明書の管理」から、「信頼されたルート証明機関」→「証明書」と開き、「Superfish,Inc.」を削除する。