今週のはじめに、LenovoがそのWindows PCの多くに”SuperFish”といういかがわしいアドウェアプログラムを、これまで何か月もプレインストールしていた、という話が広まり始めた。
そして研究者たちが、劣悪な脆弱性を見つけ始めた。すなわち、SuperFishは、あるかなり醜いハックを使ってユーザのコンピュータの暗号の証明をいじくり、暗号化されているはずのユーザの通信(HTTPSによる通信)を、ユーザがWiFiの共有接続(スタバ、空港など)を使っている場合には危険にさらした。
今朝ほど(米国時間2/20)、合衆国国土安全保障省は、Lenovoのラップトップのユーザに、そのツールを削除せよと強制した。
仮にセキュリティの問題がなかったとしても、SuperFishは相当胡散臭い。Google検索の結果をそれらが画面に現れる前に捕捉して、広告を水増しし、それから検索結果を表示していたのだ。ユーザの承認なく。
Lenovoは今、火消しに追われている。昨日同社は、SuperFishに関連したあらゆるものを1月にサーバ上で停止した、と発表した。しかし、その善き行いも、ユーザのラップトップ上のセキュリティの醜悪な欠陥を修復することはできなかった。
そこでLenoveは今日、自動的に削除を行う一連のツールをリリースし、“すべてのメジャーなブラウザからSuperFishとCertificatesを確実かつ完全に削除する”、と確約した。
さらにその削除ツールのソースコードも、その内部を調べたい人や、自分でコンパイルしたい人たちの便宜のために公開した。
こうなると、そのツールすら疑う人が少なくないと思われるので、Lenovoは手作業でSuperFishを削除する方法も上記のページで紹介している。
この件でLenovoからの発表はやたら多いが、以下は、最新の発表声明からの部分引用だ:
ユーザからの苦情に基づき、1月にSuperfishのプレロードの停止とサーバ接続の遮断を命じたが、セキュリティの脆弱性が残ることについては昨日まで無知であった。これが弊社の過誤であることを認め、今後はこのようなことがないよう、努力する所存である。今現在は、その脆弱性の修復に取り組んでいる。
今となってやっと知ったことに基づいて、迅速果敢に行動した。この問題は弊社のThinkPadやタブレット、デスクトップ、スマートフォン、エンタプライズサーバ、ないしストレージデバイスに対しては無害であるが、Lenovoの全顧客にお知らせすべきであると認識している。理由の如何を問わず、ユーザにご心配をおかけしたことをお詫びするとともに、経験から学習して弊社の今後の行動とその方式を改善していきたい。ソフトウェアとそれがもたらす脆弱な証明の削除を、顧客が容易に行えるための努力を今後も継続し、顧客が期待して当然かつ要求する権利のある、弊社製品に対する安心感を、今後とも持ち続けていただけるよう努めていきたい。
[上図中の死魚の写真は、Flickr上のBen Brophyの作品を、クリエイティブコモンズの規約のもとに改変したもの。]
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
