Lenovo、BIOSプログラムの脆弱性に対処 「迷惑ウェア」の指摘も
Lenovo製一部PCのBIOSに含まれる「Lenovo Service Engine」(LSE)では、たとえWindowsを再インストールしてもLenovoのソフトウェアが自動的にインストールされる仕組みになっていたという
Lenovoは8月11日、コンシューマー向けPCのBIOSファームウェアに含まれるプログラムを巡ってセキュリティ研究者から問題を指摘され、このプログラムを削除する措置を取ったことを明らかにした。
問題を指摘されたのは、BIOSファームウェアの「Lenovo Service Engine」(LSE)というプログラム。Lenovoの説明によると、LSEはWindowsの仕組みを利用したユーティリティで、「OneKey Optimizer」と呼ばれるプログラムのダウンロードや、個人情報を特定しないシステムデータのLenovoサーバへの送信に使われていたという。
報道によれば、LSEではシステムが再起動するたびにシステムファイルを上書きして、たとえユーザーがWindowsを再インストールした場合でも、Lenovoのソフトウェアが自動的にインストールされる仕組みになっていた。OneKey Optimizerはユーザーの迷惑になる「クラップ(ごみ)ウェア」だったとも指摘されている。
Lenovoの説明では、LSEを攻撃者に利用された場合、バッファオーバーフロー攻撃を仕掛けられたり、Lenovoテストサーバへの接続を試みられたりする恐れがあることが分かった。
問題の発覚を受けてMicrosoftもWindows BIOS機能の実装方法に関するセキュリティガイドラインを改訂した。LenovoはLSEの利用がこのガイドラインに沿っていないと判断して、LSEのインストールを中止。新しいBIOSファームウェアを配信して、LSEを無効化または削除する措置を取った。
LSEはWindows 7/8/8.1を搭載したLenovoブランドのノートPCと、Windows 8/8.1を搭載したデスクトップPCにプリインストールされていた。一方、ThinkブランドのPCにはインストールされていないという。
関連記事
- Lenovo、迷惑プリインストールソフトの一掃を宣言
Lenovoは「よりクリーンで安全なPCの提供におけるリーダーになる」と宣言。プリインストールアプリケーションの量を大幅に削減し、全ソフトウェアについての情報を公開すると表明した。 - Lenovo製品のアップデート機能に深刻な脆弱性、更新版で対処
公衆無線LANなどを通じて通信に割り込む中間者攻撃を仕掛け、Lenovoの実行可能ファイルを不正な実行可能ファイルに入れ替えることも可能だったという。 - Lenovoの「SuperFish」問題はさらに深刻、大手サイトへの攻撃兆候も
米電子フロンティア財団によれば、この問題は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの大手サイトが狙われている痕跡もあることが分かったという。 - LenovoのノートPCに不正なアドウェア、SSL通信を傍受
セキュリティ企業によると、LenovoのノートPCにプリインストールされていた「SuperFish」は、暗号化された通信を傍受して暗号を解除する仕組みをもっているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.