Lenovo、BIOSプログラムの脆弱性に対処 「迷惑ウェア」の指摘も

Lenovo製一部PCのBIOSに含まれる「Lenovo Service Engine」(LSE)では、たとえWindowsを再インストールしてもLenovoのソフトウェアが自動的にインストールされる仕組みになっていたという

» 2015年08月13日 07時59分 公開
[鈴木聖子ITmedia]

 Lenovoは8月11日、コンシューマー向けPCのBIOSファームウェアに含まれるプログラムを巡ってセキュリティ研究者から問題を指摘され、このプログラムを削除する措置を取ったことを明らかにした。

photo LSEについての声明と対象となるモデル

 問題を指摘されたのは、BIOSファームウェアの「Lenovo Service Engine」(LSE)というプログラム。Lenovoの説明によると、LSEはWindowsの仕組みを利用したユーティリティで、「OneKey Optimizer」と呼ばれるプログラムのダウンロードや、個人情報を特定しないシステムデータのLenovoサーバへの送信に使われていたという。

 報道によれば、LSEではシステムが再起動するたびにシステムファイルを上書きして、たとえユーザーがWindowsを再インストールした場合でも、Lenovoのソフトウェアが自動的にインストールされる仕組みになっていた。OneKey Optimizerはユーザーの迷惑になる「クラップ(ごみ)ウェア」だったとも指摘されている。

 Lenovoの説明では、LSEを攻撃者に利用された場合、バッファオーバーフロー攻撃を仕掛けられたり、Lenovoテストサーバへの接続を試みられたりする恐れがあることが分かった。

 問題の発覚を受けてMicrosoftもWindows BIOS機能の実装方法に関するセキュリティガイドラインを改訂した。LenovoはLSEの利用がこのガイドラインに沿っていないと判断して、LSEのインストールを中止。新しいBIOSファームウェアを配信して、LSEを無効化または削除する措置を取った。

 LSEはWindows 7/8/8.1を搭載したLenovoブランドのノートPCと、Windows 8/8.1を搭載したデスクトップPCにプリインストールされていた。一方、ThinkブランドのPCにはインストールされていないという。

Copyright © ITmedia, Inc. All Rights Reserved.