LenovoのノートPCに不正なアドウェア、SSL通信を傍受

セキュリティ企業によると、LenovoのノートPCにプリインストールされていた「SuperFish」は、暗号化された通信を傍受して暗号を解除する仕組みをもっているという。

[鈴木聖子，ITmedia]

　Lenovoのコンシューマー向けノートPCにプリインストールされていたソフトウェアの中に、暗号化された通信を傍受する不正なアドウェアが含まれていたことが分かったとして、セキュリティ研究者がブログなどで報告した。Lenovoも2月19日、同ソフトウェアの存在を確認し、プリインストールを1月で中止していたことを明らかにした。

　セキュリティ企業Errata Securityのブログによると、問題が指摘されているのはLenovoのノートPCにプリインストールされていた「SuperFish」というソフトウェア。SSLで暗号化されたWebブラウザの通信を全て傍受して暗号を解除し、それを再び暗号化する仕組みを備えているという。

「SuperFish」の不正機能を研究者が指摘（Errata Securityより）

　さらに、WebページにJavaScriptコードを仕込んで広告を表示させるなどの挙動も確認された。SuperFishは少なくとも2014年6月からLenovoのPCにインストールされていたとErrataはみている。

　しかも、SuperFishはつくりがずさんなため、システムがハッキングされて盗み見される恐れもあるという。実際にErrataの研究者は、SuperFishが使っている証明書を抽出し、パスワードをクラッキングすることに成功したと発表。これを使ってカフェのWi-Fiホットスポットで、SuperFishが入ったLenovo PCユーザーの暗号化された通信を傍受することができたと伝えている。

Lenovoも存在を確認した

　SuperFishは「ユーザーの役に立つサービスの提供」をうたっているが、それは偽りだとErrataは断言する。SuperFishのビジネスはLenovoなどに金銭を払ってユーザーの意思に反してソフトウェアをバンドルさせ、広告から収入を得ることで成り立っているとErrataはみる。

　LenovoがWebサイトに掲載した声明によると、Superfishが入っていたのはノートPCのG、U、Y、Z、Sの各シリーズと、Flexシリーズ、Yogaシリーズ、Eシリーズなどの製品。9月〜12月にかけて一部のモデルにプリインストールされたとしている。

　しかしユーザーに不評だったため、サーバサイドでSuperfishを無効にする措置を取り、1月からはプリインストールを中止したという。今後同ソフトウェアのプリインストールは行わないと表明している。