目次
暗号化通信が全く無効の可能性
IT系の海外大手ウェブメディアTHE NEXT WEBが19日、Lenovo製PCの一部にプリインストールされているソフトによって、暗号化が無効になるなど重大な危険性があると報じられ問題となっています。
そのソフトがインストールされた状態でWebサイトなどの閲覧を行うと他人から通信が閲覧される可能性があるので、ネットショッピングや銀行などの利用は注意してください。
原因は「Superfish」というソフトウェア
問題のソフトウェアはSuperfish(VisualDiscovery)というソフトウェアで、2014年9月頃から12月頃までLenovo製PCにプリインストールされ出荷されています。
このソフトウェアがインストールされている可能性があるのは以下の機種になります。
Superfish may have appeared on these models:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30Lenovo公式声明より
Superfishがインストールされていた場合の対処方法
Superfish本体のアンインストール
まずはSuperfishがインストールされているかをコントロールパネルから確認して下さい。もしインストールされていればアンインストールを実行してください。
削除してもPCの動作に問題はありません。
「コントロールパネル」→「プログラムのアンインストール」と進み、プログラムの一覧のから「Superfish Inc. Visual Discovery」を選択して「アンインストール」を実行。
([Windows]キー+[X]キー → [P]キー で「コントロールパネル」が開けます。)
Superfishが作成した証明書の削除
次に以下のサイトにアクセスしてPCにSuperfishの証明書が登録されているかを確認します。 Superfish CA test(別ウインドウでリンクへ飛びます)
サイトにアクセスしたときに「good」と表示されれば問題ありません。「yes」と表示された場合はSuperfishの証明書が登録されている可能性があり、以下の削除作業が必要になります。
スタートメニューの「プログラムとファイルの検索」の欄にcertmgr.mscと入力して実行。※管理者権限が必要です
([Windows]キー+[R]キーで[ファイル名を指定して実行]を開きcertmgr.mscと入力)
証明書のフォルダの中から「Superfish, Inc.」を選択して削除を実行。
Lenovoユーザーは必ずチェックを
今回の問題が重大なのはパスワードなど重要な情報が第三者の手に渡る可能性があることです。
暗号化が無効になるということはネットショッピングや銀行口座の操作が筒抜けの可能性がぬぐえませんのでLenovoユーザーは必ず確認してください。
参考記事
具体的にSuperfishでどんな動きが行われ、どういったリスクが考えられるのかnekouriさんの記事に詳細がまとめられています。 Superfishが危険な理由-めもおきば
今回の経緯や影響範囲等についてKangoさんが記事にまとめられております。Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。-piyolog
2015/2/21 追記
Lenovoは今回の問題を受け、公式サイトにてSuperfishのアンインストール方法を公開しました。自動削除ツールも準備されています。 SUPERFISHのアンインストール方法-Lenovo公式サイト