Photo by Sergiu Nista on Unsplash
2015年8月14日
レノボ製のPCにはスパイウェアが工場出荷状態から仕込まれていることが以前話題になっていた(レノボPCの人は今すぐチェックを!一部製品にSuperfishの大穴(GIZMODO))が、BIOSにWindowsのシステムファイルを書き換える仕掛けがあることが発見された。
Lenovo used a hidden Windows feature to ensure its software could not be deleted
以下翻訳引用
この仕掛けは BIOS内に仕込まれている Lenovo Service Engine が勝手に OneKey Optimizer というプログラムをダウンロードし、OSに組み込んでしまう。レノボによればこのプログラムはファームウェアやドライバのアップデートを自動で行うことでパフォーマンスを向上させ、ジャンクファイルやパフォーマンスの低下に影響を与える要因をスキャンしてくれる機能とのことだ。
しかし、”ユーザが製品をどのように使っているのかを調べ上げ、レノボサーバへ送信する”とも書かれている。レノボは”個人を特定できる情報を収集していない”と言っているが、問題は一ユーザには除去するのが極めて難しいのと、同意もなしに勝手にユーザの情報が送信されていることだ。
Windows 7 か 8 がインストールされたとき、BIOSが ”C:Windowssystem32autochk.exe” をレノボのものか判定し、書き換えてしまうのだ。その後、書き換えられた autochk.exe がブート時に LenovoUpdate.exe と LenovoCheck.exe を生成。これらのサービスがネットを通じてファイルをダウンロードする。
7月末に攻撃者がサーバを利用することで Lenovo Service Engine を通じて任意のプログラムをインストールできてしまうという脆弱性があることを認め、この機能を除去するパッチを提供したようだが、自動更新はなされていないようだ。
実はこの Windows のシステムファイルを書き換えるメカニズムは Windows Platform Binary Table というマイクロソフトに認められているテクニックである。
このテクニックに言及したオンラインテキストは2件しか見受けられなかった。一つはレノボのエンジニアがACPIテーブルについて助けを求めているものだ。
引用終了
上記のようにWindowsをクリーンインストールしようが何しようがブート時にこのプログラムが仕込まれてしまうらしい。
BIOSも進化してきてUEFIが主流になっている。機能やEEPROMなどの容量が増えてくるとより厄介なスパイウェアやコンピュータ・ウィルスを仕込みやすくなるのは想像に難くない。
このUEFI自体、Microsoftが開発に深く関わっている。策定段階のUEFIなんかはセキュリティの関係上、MSの署名入りプログラムのみの起動を許すように設計されてた。この影響でLinuxが締めだされそうになるという騒動もあった。
MSと攣るんでる肝心のPCメーカーがこの様である。いくら提携しているとはいえ、システムファイルを簡単に改変できるようにしてしまうのは信用問題に値する。
おわり

コメント