中国レノボやセキュリティ研究者などは2015年2月19日以降、レノボのノートPCにプリインストールされていたソフトウエア「Superfish」をチェックする方法やアンインストール方法などを紹介している。該当PCのユーザーは確認と対策が急務だ。

 Superfishは、Webの検索結果に広告を挿入して表示するソフトウエア(アドウエア)。セキュリティベンダーの米エラッタ・セキュリティなどによると、Superfishは独自のルート証明書を使って、SSLによる通信を“乗っ取る”機能を備えているという。しかも、ルート証明書の秘密鍵は比較的容易に取り出せるため、SuperfishがインストールされていたPCのSSL通信は、第三者によって盗聴される恐れがある。

 レノボでは、Superfishのプリインストールと動作を2015年1月に中止したことを表明している(関連記事:Lenovo、脆弱性が指摘されたSuperfishを「1月からすでに停止」と説明)。

 だが、プリインストールされていたPCは、今後も影響を受ける恐れがある。Superfishのルート証明書はインストールされたままだからだ。該当機種のユーザーは、影響を受けるかどうか確認し、影響を受けるようなら対策を実施する必要がある。

 レノボの情報によると、Superfishがプリインストールされていた可能性があるのは、以下の機種だという。これらには、日本で発売されていない機種も含まれる。

  • Gシリーズ:G410、G510、G710、G40-70、G50-70、G40-30、G50-30、G40-45、G50-45
  • Uシリーズ:U330P、U430P、U330Touch、U430Touch、U530Touch
  • Yシリーズ:Y430P、Y40-70、Y50-70
  • Zシリーズ:Z40-75、Z50-75、Z40-70、Z50-70
  • Sシリーズ:S310、S410、S40-70、S415、S415Touch、S20-30、S20-30Touch
  • Flexシリーズ:Flex2 14D、Flex2 15D、Flex2 14、Flex2 15、Flex2 14(BTM)、Flex2 15(BTM)、Flex 10
  • MIIXシリーズ:MIIX2-8、MIIX2-10、MIIX2-11
  • YOGAシリーズ:YOGA2Pro-13、YOGA2-13、YOGA2-11BTM、YOGA2-11HSW
  • Eシリーズ:E10-30