これだから中華パソコン、中華スマホは使いたくない、そう思わせる残念な事件がまたまた発覚。
なんとレノボのパソコンに標準でインストールされているソフト(プリンストールソフト)「Superfish」に脆弱性が見つかったというもので、2つの問題が懸念されています。
1つは、暗号化された通信に対しても広告を配信することが出来、やり取りされる情報を把握できてしまうということ。本来暗号化は通信を見えないようにする技術にも関わらず。2つめは、さらに通信情報が第三者に盗まれてしまうということ。ということで、悪用されるとヤバイ脆弱性が見つかっています。
レノボユーザーはまず、ご利用のPCが対象かどうか確認し、対象の場合は速やかに対処しましょう。
目次
1.対象のPCはこちら
Superfishが搭載されて出荷されたモデル:
- G シリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U シリーズ U330P, U430P, U330Touch, U430Touch, U530Touch
- Y シリーズ: Y430P, Y40-70, Y50-70
- Z シリーズ: Z40-75, Z50-75, Z40-70, Z50-70
- S シリーズ S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- Flex シリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX シリーズ: MIIX2-8, MIIX2-10, MIIX2-11
- YOGA シリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E シリーズ: E10-30
(注)対象機種には日本で発売されなかったモデルも含まれます。
出典:レノボ・ジャパン
ビジネスシーンで多く使われているThinkPadシリーズは対象じゃなかったのが不幸中の幸いですね。
2.対処方法
Superfishのアンインストール −> 自己証明書の削除、の順番に行います。
Superfishのアンインストール(Windows8.1の場合)
- スタートメニュー右上の検索窓から、「remove programs」を入力し、「プログラムの追加と削除」を実行
- プログラムの一覧からSuperfishを選択し、アンインストールを行います。
自己証明書の削除
- スタートメニュー右上の検索窓から、「Certificate」を入力し、「コンピュータ証明書の管理」を実行
- 信頼されたルート証明書の中から、Superfish.incを右クリックして、削除します。
- パソコンを再起動します。
画面付きの説明を見たい場合はこちらをご覧下さい。
レノボの対応は適切だったのか?
今回のプレスリリースを見ると、1月から通信を停止し、SuperfishがインストールされていないPCを1月から出荷していないと言っているので、2月19日に正式に発表する1ヶ月以上も前から事情を知っていたわけです。それにも関わらず、今頃説明するというのはユーザーを舐めていますよね。1ヶ月以上も何も知らないユーザを危険な状態に晒していたわけですから、本当に不誠実ですね。いくらサーバを停止して、通信されない状態にしてあるといっても納得出来る説明では無いですよ。
2年ほど前に、諜報、防衛機関における機密性の高いネットワーク上でレノボ製PCの使用を禁止した、というニュースがありましたが、おそらくレノボの製品に何らかの危険を感じたのでしょう。それまでも、それ以降も常に中華製品はバックドアが仕込まれていて中国政府に情報が送られているとか、憶測ベースで語られていますが、火のないところに煙は立たぬ、という通りなのかもしれません。中華製品とは少し距離を置くべきでしょう。