02
20
2015
Lenovo PCのプリインストールアドウェアが世界中で騒ぎに

Lenovo PCのプリインストールアドウェアが世界中で騒ぎに

昨日からtwitterのタイムラインを騒がせている「SuperFish問題」
SuperFishとはLenovo製PCにプリインストールされているアドウェアです。

 → LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった! - TechCrunch



広告を勝手に挿入

SuperFishが何をするかというと、通信データの傍受と、Webページへの広告の勝手挿入。

事例1)Visual Search resultsという広告が挿入されている
Lenovo SuperFish ad
出典: Lenovo Community

事例2)Appleサイトのど真ん中に挿入された広告
Lenovo SuperFish ad2
出典: PCWorld

ここまでならChromeの拡張機能などにも同様の振る舞いをするものはありますが、本件が一気に問題視されたのは通信の監視行動です。

Lenovoの回答によると収集したデータはその都度破棄し、ユーザー行動の監視は行っていなかった(参考)とのことですが、通信を覗き見しながらページに応じた広告を挿入していたようです。上記の事例でいうとAppleサイトにはiPadの広告をということでしょうかね。



電子証明書の問題

さらにマズいのが、この通信傍受のために電子証明書をいじった点。

これにより銀行サイトにログインできなくなったり、セキュリティの穴が生まれるなど、ハイリスクな問題が起きています。

 → Superfishが危険な理由 - めもおきば

大手銀行のアナウンス
 → レノボ社製パソコンの一部型番でログインができない事象について
 → みずほ銀行:レノボ社製パソコンの一部型番で…

レノボの対応
 → 電子証明書を利用したWebサイトにログインできないについてのお知らせ - Lenovo Support (JP)



関連
 → SSL通信を盗聴される恐れ、ノートPCに潜む「Superfish」の正体:ITpro


インストールされているPC

銀行のアナウンスでSuperFishがプリインストールされていると挙げられたモデルは以下の通り

 ・Lenovo G50シリーズ
 ・Lenovo Flex 10シリーズ
 ・Lenovo Y50シリーズ
 ・Lenovo S20シリーズ


追記)こちらにモデル一覧が出ています。国内でも同様かどうかは不明。

YogaシリーズやMiix2なども挙がってます。
 → Superfish Vulnerability - Lenovo Support (US)



Lenovoの公式見解

Lenovoの公式見解が出ています。

Superfish was previously included on some consumer notebook products shipped in a short window between September and December to help customers potentially discover interesting products while shopping.  However, user feedback was not positive, and we responded quickly and decisively:

 ・Superfish has completely disabled server side interactions (since January) on all Lenovo products so that the product is no longer active.
 ・This disables Superfish for all products in market.
 ・Lenovo stopped preloading the software in January. We will not preload this software in the future.

 → Lenovo Newsroom | LENOVO STATEMENT ON SUPERFISH



要約すると
 ・アドウェアを入れたのは9月から12月の短い期間だった
 ・ユーザーが興味を引く商品を探し出すお手伝いが目的だった
 ・すべての製品で1月からサーバーサイドで機能を無効化している
 ・1月にプリインストールは止めて、今後もプリインストールするつもりはない

SuperFishをプリインストールした理由がスゴイですね。



SuperFishの削除方法

本体の削除は公式にアナウンスされているものがあります。

 → 電子証明書を利用したWebサイトにログインできないについてのお知らせ - Lenovo Support (JP)

これだけではSuperFishの電子証明書が消えないので、別途削除が必要。以下の通りに証明書の管理画面を出し、「信頼されたルート証明機関」のところにSuperFishの電子証明書を削除。

 → 証明書を表示または管理する

SuperFish削除ガイド(英語)
 → How to remove Superfish adware from Lenovo PCs



レノボジャパンは詳細な声明を出すべきでは

現在はどうなのか知りませんが、Lenovoシリーズの開発はThinkPadシリーズと異なり、中国本土のチームがメインで行われているはずです(大和研究所などはそこに助言する形)。

いまのところThinkPadでSuperFishが確認されていないのは製品ポジションやそういった点が幸いしたのかもしれませんが、Lenovo社全体に疑惑がかかった感は否めないところです。

レノボジャパンも静観せず、積極的にアナウンスしていってもらいたいですね。