2014年9月から12月にかけて出荷されたLenovo製コンシューマ向け製品に「Superfish」と呼ばれるセキュリティ上問題のあるソフ トがプリインストールされていたことが明るみに出た。(中略)

Superfishは、Lenovoによれば、「オンラインショッピングを行なう際に、ユーザーが興味ある製品をみつけるのを手助け するソフト」とされ、一時期の製品に搭載されていた。だが、このソフトは、自身で署名しローカルに保存したルート証明書を使って、HTTPS通信を傍受す ることから、暗号化通信に甚大な脅威をもたらす脆弱性がある。

PC Watch 2014年2月20日の記事

私も所有しているLenovo製のパソコンに、上記のようなマルウェアが同梱されている可能性があるということで調べました。

Superfishの挙動について

Superfishの挙動については

めもおきば – Superfishが危険な理由（http://d.nekoruri.jp/entry/20150220/superfish）

こちらで画像付きで非常に分かりやすく説明されています。（追記：サイトが閉鎖されたようです）

要約するのなら、

1. 本来Webサイトは証明書の確認によって安全性を保っていますが、Superfishは自身で作成した偽の証明書を使用してこの安全化手順を無効化します。
2. さらにこの証明書は全世界で共通しており、既に秘密鍵が解読されてしまっています。したがって、この証明書を利用すれば「ブラウザ上では本物と認識しているが、実際には偽物で送受信が危険にさらされている」サイトを作成できます。

というところでしょうか。このような状況の為、

実際に上記のようにbankofamerica.comの証明を偽装する例も挙がっています。

Lenovo製PCに対する調査方法

Lenovoが公表した同梱されている可能性のあるPC一覧

Lenovoからプリインストールの可能性のあるPCの一覧が公表されています。

• G シリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
• U シリーズ U330P, U430P, U330Touch, U430Touch, U530Touch
• Y シリーズ: Y430P, Y40-70, Y50-70
• Z シリーズ: Z40-75, Z50-75, Z40-70, Z50-70
• S シリーズ S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
• Flex シリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
• MIIX シリーズ: MIIX2-8, MIIX2-10, MIIX2-11
• YOGA シリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
• E シリーズ: E10-30

CA Testで自分のPCの調査

自分のPCにSuperfishが入っているかを調べるためのサイトが提供されています。

Superfish CA Test – https://filippo.io/Badfish/

上記のサイトにアクセスして「Good, Superfish is probably not intercepting your connections.」と表示されていれば問題ありません。説明文にDo the test with all browsers installedとある通り、インストールされているすべてのブラウザで検証する必要があります。

YESと書かれていれば残念ながらSuperfishがインストールされています。この場合はアンインストール方法も上記リンク先に用意されています。ただし英語なので

Gigazine – Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか？

こちらの後半を参考にしたほうが良いかもしれません。

私のPCで試した結果

私は2014年12月末にLenovo YOGA Tablet 2-10 with Windowsを購入しています。上記のLenovoが公表したPCリストに名前は載っていませんが、時期（2014年9月～12月）的には該当しています。

実際にチェック用サイトを試してみたところ

幸いにも、結果はシロでした。

それでも、釈然としないものは残ります。企業への信頼が回復したわけではありませんし……。