文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    Lenovoに悪質アドウェアがプリインストール

    • Lenovoにプリインストールされていたアドウェア・Superfish社の「VisualDiscovery」によって発行された、バンク・オブ・アメリカのサイトでの偽の電子証明書(セキュリティー企業・Errata社による)
      Lenovoにプリインストールされていたアドウェア・Superfish社の「VisualDiscovery」によって発行された、バンク・オブ・アメリカのサイトでの偽の電子証明書(セキュリティー企業・Errata社による)

     人気のパソコンブランド・レノボ(Lenovo)に、広告強制表示や電子証明書偽造などを行う悪質なアドウェアが、購入当初から入っていた。広告が勝手に挿入されるほか、電子証明書を偽造してネットバンキングにアクセスできないトラブルも起きている。(ITジャーナリスト・三上洋)

    広告強制表示などを行う悪質アドウェアがプリインストール

     ノートパソコンとして人気のLenovo(中国・聯想集団)で、深刻なトラブルが起きている。購入当初から入っているソフトウェアが、広告の強制表示、通信の安全を確保するための電子証明書の偽造などを勝手に行っていたのだ。

     問題のソフトウェアは、LenovoにプリインストールされていたSuperfish社の「VisualDiscovery」というソフトウェア。勝手に広告などを強制表示するアドウェアの一種だ。

     まずは発覚した経緯をまとめる。詳細は「piyolog」のKango氏による「Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。」を参考にしてほしい。

    Lenovoに入っている悪質アドウェア発覚の経緯

    ・Lenovoの掲示板、Q&Aサイトなどでアドウェアではないかとの指摘

     2014年9月頃からLenovoのサポート掲示板で、プリインストールされているSuperfish社の「VisualDiscovery」によって広告が強制表示されるなどの指摘があった。日本国内のQ&Aサイトや、Twitterなどでも同様の指摘があった。

    ・みずほ銀行、三菱東京UFJ銀行などでLenovoからのログインができない事象

    • LenovoサポートでSuperfish社の「VisualDiscovery」の削除方法が紹介されている
      LenovoサポートでSuperfish社の「VisualDiscovery」の削除方法が紹介されている

     Lenovoでネットバンキングなどのサイトでログインできない事象が発生した。みずほ銀行、や三菱東京UFJ銀行がウェブサイトでログインできない状況を告知。昨年12月にLenovo公式サイトが、原因となっているSuperfish社「VisualDiscovery」を削除する方法を掲載した。

    ・IT関連サイトがLenovoに入っているアドウェア「Superfish」の問題を記事に

     IT関連の情報サイト「The Next Web」が、2月19日にSuperfish社の「VisualDiscovery」の実態を記事にし、世界的に大きな話題になった(英文記事)。Lenovoにプリインストールされており、広告を強制表示する、電子証明書を偽造するなどの動きを指摘。セキュリティー研究者も続々と問題を指摘している。

    ・Lenovoが公式声明「1月からプリインストールを中止している」

    • 2月20日に出されたSuperfishに関するLenovo社の声明。個人情報の追跡・保存などは行っていないと述べている
      2月20日に出されたSuperfishに関するLenovo社の声明。個人情報の追跡・保存などは行っていないと述べている

     2月20日にLenovoが公式声明(英語)を出した。Superfishの問題を認め、1月以降の製品ではプリインストールを行っていないと発表している。声明では「ユーザーの行動を監視・記録はせず、特定・追跡も行っていない」としているが、電子証明書の問題には触れていない。

     このようにユーザーからの指摘がありながら、Lenovoは3か月以上にわたって、悪質なアドウェアを入れたままで販売していた。掲示板などの指摘でプリインストールは1月にやめたものの、ユーザー向けの周知は行わず、記事が大きな話題になってから公式声明を出した状態だ。その公式声明も、Superfishの性質や問題点に触れておらず、削除の手順も不十分のように思える。

    プリインストールのソフトウェアが広告強制表示・偽の電子証明書

     Lenovoは中国・聯想集団のパソコンブランドだ。2004年にIBMのパソコン部門を買収したことから、ThinkPadブランドが聯想集団から発売されることになり、Lenovoブランドとして今に続いている。

     問題のアドウェアSuperfish社の「VisualDiscovery」は、2013年9月から12月まで発売されていたLenovoのパソコンに入っていた。どんな動きをするのかまとめる。詳細はnekoruri氏が「Superfishが危険な理由」という記事を参考にしてほしい。

    ・広告の強制表示を行う

     様々なウェブサイトで、勝手に広告を挿入する。検索キーワードや表示した画像を基に、関連した広告を挿入するアドウェアだ。Webプロキシとして動き、勝手にHTMLを書き換えて広告を挿入するJavaScriptを埋め込んでいると思われる。Chromeとインターネットエクスプローラー(IE)で動作する。

    ・暗号化した通信(SSL)を傍受して解除

     通信の安全性を確保するSSLで暗号化された通信を傍受し、解除していた疑惑。セキュリティー企業・Errata社が自社ブログで指摘している。

    ・電子証明書の偽造を行う

    複数のセキュリティー研究者が、Superfish社の「VisualDiscovery」が電子証明書の偽造を行っていると指摘。途中の通信を乗っ取り、信頼できる電子証明書の認証局ではなく、Superfish社が認証局として証明書を出して認証していた可能性がある(詳細はnekoruri氏による記事「Superfishが危険な理由」を参照のこと)。これにより、みずほ銀行、三菱東京UFJ銀行でのログインができなくなったと推定できる。

    ・秘密鍵の保存により、場合によってはWiFiでの盗聴も可能に?

    前出のセキュリティー企業・Errata社のブログによると、SSLの秘密鍵を保存していた可能性がある。ここを攻撃された場合、通信の途中、たとえばWiFiスポットなどで、通信内容を盗聴されてしまう可能性もある。

     あらゆるサイトで広告挿入をするだけでも不快な上に、安全性を証明する電子証明書を偽造、さらに通信内容まで見られる可能性もある。

     かなり衝撃的な内容で、これはアドウェアというよりも、不正な動きをするマルウェアと言ってもいいだろう。複数のセキュリティー企業が「VisualDiscovery」を危険なソフトウェアとして削除対象にしている。

     Lenovoの聯想集団には、中国政府が大きな資本を入れている。そのため以前から、アメリカの米中経済安全保障検討委員会は、政府機関での使用に懸念を表明していた。今回の事件は、その疑惑を実証する形になってしまっている。Lenovo側は個人情報を保存・追跡していないと声明を出しているものの、それを可能にする不正なソフトウェアをプリインストールしていたのだから弁解は難しいだろう。

    「VisualDiscovery」と不正な電子証明書を削除する

     対象となる機種は以下の通りだ。

    ●Lenovoのパソコンで「VisualDiscovery」が入っていた機種:2014年9月から12月まで出荷されていた機種

    G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45

    U Series: U330P, U430P, U330Touch, U430Touch, U530Touch

    Y Series: Y430P, Y40-70, Y50-70

    Z Series: Z40-75, Z50-75, Z40-70, Z50-70

    S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch

    Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10

    MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11

    YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

    E Series: E10-30

     対策は2つで、1つは「VisualDiscovery」を削除すること。Lenovoサポートの「電子証明書を利用したWEBサイトにログインできないについてのお知らせ」http://support.lenovo.com/jp/ja/documents/HT101983に削除方法が書かれている。

     2つ目は「VisualDiscovery」の電子証明書を削除することだ。「piyolog」のKango氏による「Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。」に方法が書かれているので参考にしてほしい。

     なお今回の事例では、クリーンインストールは逆効果になるので注意。アドウェア自体がプリインストールされているため、Lenovoでクリーンインストールを行うと、再びアドウェアが入ってしまう。クリーンインストールはせず、必ず手作業で削除しよう。

    2015年02月20日 17時47分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす筆力には定評がある。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP