レノボ（Lenovo）製パソコンにプリインストールされている「Superfish」というアドウェア（広告配信用アプリ）にセキュリティ上の問題が見つかった。このアドウェアが原因で、ユーザーがブラウザ経由でセキュアサイトにアクセスする際に使うパスワードなど重要な情報が第三者の手に渡る可能性が指摘されている。

この問題を見つけたのは、セキュリティ専門家のケン・ホワイト（Kenn White）という人物で、The VergeやTechCrunchでは同氏の発した下掲のツイートが紹介されている。

This is a problem. #superfish pic.twitter.com/jKDfSo99ZR

— Kenn White (@kennwhite) February 19, 2015

上記ツイート中の写真にあるように、「Superfish」がインストールされたパソコンでは、 本来ならベリサイン（VeriSign）のような機関から発行されるべきSSL認証を「Superfish」が勝手に発行してしまう。上記の例では、バンクオブアメリカ（BoA）のウェブサイト（www.bankofamerica.com）に対して、Superfishが発効した認証が発効されている。このやりかたで「Superfish」は暗号化されたセッションにも広告を挿入し、やりとりされる情報の中味も把握できるようにしていると、The Vergeでは説明している。

さらに、本来ユーザー以外には非公開であるはずの情報が広告目的でレノボとSuperfish開発元（同名の企業）に渡ってしまう問題に加えて、この仕組みが悪用されると、ユーザーがオンライン銀行口座の利用時に使うパスワードなどが第三者の盗まれてしまうリスクがあることも指摘されている。

なお、Superfishは「画像検索技術を特徴とする現在急成長中のサービス」「7万カ所以上のオンラインストアから画像情報を集め、より安い値段の商品を提示する」といった説明がある。いっぽう、今年1月にはレノボが同ソフトをプリインストールしていることに対してユーザーの間から批判の声があがっていたという。

TL;DR #superfish: @lenovo ships laptops that break all HTTPS browsing, with an ad-insertion program called Superfish.

— Chris Palmer (@fugueish) February 19, 2015

【参照情報】
・Lenovo installs adware on its computers that could let hackers steal private data - The Verge
・Lenovo PCs Shipping With Adware That Poses Serious Security Threat - TechCrunch