（画像は同社Webサイトより）

2015年2月、中国系パソコンメーカーのレノボ(Lenovo)社製の家庭用Windowsパソコンにプリインストールされていたソフトウェアに、暗号化通信を無効にする脆弱性が含まれていることが報道され、大きな問題となりました。同社はこのソフトウェアのプリインストールの中止や、出荷済み製品に対する対策を講じることとなりました。

対象となっているのは2014年9月から12月の間に出荷された同社の家庭用パソコンとのことです。これらにプリインストールされて出荷された通称「Superfish（スーパーフィッシュ）」と言われるソフトウェアは、ブラウザを利用してインターネット上のWebサイトを閲覧している際に、独自の広告が挿入されるというものでした。しかしながら、このソフトは広告を挿入するだけに留まらず、SSL暗号化通信のための重要な存在である電子証明書を任意に書き換える機能を持っており、この機能が悪用されたとすると偽物のWebサイトを本物のように偽ることができるなど、深刻な脆弱性を持っているものでした。

今回の問題が発覚する前から、いくつかの都市銀行では、独自の電子証明書を使ったオンラインバンキングが使えないという事象が発生していたようで、昨年からこれに関する案内が出ていたようです。今年2月に入り、それがプリインストールソフトウェアによるものであることが明確となり、ニュースとして報道され、同社は急遽対応を迫られることになりました。

同社の対応は下記のようなもので、かなり徹底したものでした。
(1) 事態の把握と顧客への広報
(2) プリインストールの中止、専用サーバーの停止
(3) アンインストール方法の案内と自動削除ツールの提供開始
(4) 「Windows Defender」やウイルス対策ソフトでの削除機能開始

レノボ社からの案内文＞
http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0221.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0225-2.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0228.shtml
http://support.lenovo.com/jp/ja/product_security/superfish_uninstall

都市銀行からの案内文＞
https://bizstation.bk.mufg.jp/info/150209.html
http://www.mizuhobank.co.jp/corporate/ebservice/account/announce20150212.html

（私のコメント）
今回の事件は下記の3点から個人的には興味を引くものでした。

(1) 同社のリリース文は「見解」「お知らせ」「公開書状」「お約束」などとなっており、日本企業でよく見られる「お詫び」という体裁とは異なっています。内容には「お詫び」という言葉も使われていますが、あくまでも「お客様に対して懸念を抱かせたこと」や「セキュリティの潜在的な脆弱性について認識していなかったこと」に対するお詫びであり、当該ソフトウェアをインストールしたことに対する直接のお詫びはありません。ここはアメリカの文化なのか、中国の文化なのか、明らかに日本企業の通常のやり方とは異なっていることに興味を持ちました。

(2) 今回、事後対策として 「Windows Defender」やウイルス対策ソフトによる削除が取り入れられました。これらは本来は誰が作ったのかわからないウイルスや、悪質な会社が作ったスパイウェアなどを削除することを目的として作られたものですが、通常の企業が正規のルートで配布したソフトウェアの削除に使われていることは興味深いです。

(3) 最後に、中国系のIT企業としては、通信機器メーカーのHuawei（ファーウェイ）が米国政府機関からの締め出しを食らっており、LenovoもIBMのパソコン部門を買収した存在であるとは言え、いつそのような取扱いを受けてもおかしくないのかもしれません。同社の徹底した対応の裏にはそういう事情もあるのかなと思いました。