ちょろげ日記

日々のちょろっとしたことを

LenovoはThinkPadにスパイウェアを仕込んでいたのか?

Lenovoが起こした過去2回の問題と3度目の問題、そしてそれを指摘した記事の問題についてまとめました。

Lenovoへの不信感

1度目の不信

ノートPCを買うならThinkPad、トラックポイントに出会ってからそう決めていましたが、2015年2月のニュースや解説記事を読んでその気持が大きく揺らぎました。

Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。

 <省略>さらにまずいのは、Superfishのソフトウェアを削除しても、Lenoveのマシンから証明は(したがって脅威は)削除されないことだ。

LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった! | TechCrunch Japan

d.hatena.ne.jp

d.hatena.ne.jp

 
私用しているThinkPadシリーズはこのSuperfish問題では対象外だったものの、Lenovoそのものへの不信感メーターを振り切るには十分な内容でした。

さらにLenovoの公式発表は納得のいく内容ではなく(当初危険性がない旨を記載しておいてその後記載を変更)、結果的に私のLenovo不信感メーターはスカウターよろしく跡形もなくぶっ壊れたのでした。

ただ、最後の更新では次のような反省のコメントが書き加わっていて、信頼回復へのかすかな期待も抱いていました。

私たちは常に経験から学びながら、私たちが何をすべきか、どのように行うべきか、について改善を続けていく所存です。Superfishに関するレノボの見解

 

2度目の不信

それから半年経った2015年8月。再びLenovoがやらかしたという記事を目にします。

Lenovoが販売しているコンピュータの一部に、不要なソフトウェアを再インストールする仕掛けがあることがわかった。

 <省略>このエンジンはコンピュータのBIOSに搭載されており、Windowsの主要なシステムファイルを自身で置き換え、コンピュータがインターネットに接続されると、即座にファイルをダウンロードできるようにする。

 <省略>Lenovoは7月31日付けのセキュリティアドバイザリで、このエンジンがハッカーに悪用され、マルウェアをインストールされる危険があると警告した。同社はこのエンジンの機能を取り除くセキュリティアップデートを公開したが、このパッチはユーザーが手動でインストールする必要がある。

レノボ、一部製品で「Windows」の主要ファイルを無断で上書き - CNET Japan

 
今回もThinkPadシリーズは対象外でしたので対岸の火事感はありましたが、1度目の公式発表の反省に対して抱いた一縷の望みをぶった切る内容に、金輪際Lenovo製品は買うまいという思いをガチガチに固めざるを得ませんでした。

1度目のやらかしに比べてネット上での注目は低かったように感じましたが、私のような印象を受けた方は他にもいらっしゃったと思います。概ね以下の投稿と同じ印象です。

superfishの時もこの件も実装がタコで脆弱性が生じてるわけではなく意図した実装で傍から見たら頭おかしいとしかおもえない挙動をしているわけで社内的にこれにOKが出る風土の会社の製品はちょっとさすがに対象外だから買いますというわけにはいかないですね。。。Lenovo、ノートPCにWindowsを再インストールしても復活するダウンローダを仕込んでいた | スラド セキュリティ

 
 

3度目の問題発覚?

さらに2ヶ月ほどが経った2015年9月末、「またLenovo!今度はThinkPadにスパイウェアを潜ませていたことが発覚」というThinkPadは対象外だからセーフという唯一の私の拠り所をバズーカでぶっ飛ばすような記事が目に入りました。

megalodon.jp

記事のタイトルと内容が何回か更新されているため、私が最初に目にした時点のWeb魚拓を貼っています。この点については後述します。

2015年2月にも、Superfishなる悪質なアドウェアを埋め込んでいることが明らかとなり、大スキャンダルに見舞われたLenovoですが、この時同社の見解は、「Thinkシリーズには埋め込んでいない」というものでした。しかし、今回は図ったかのように、全てのThinkシリーズが対象となっています。

 <省略>マーケティング会社にデータを転送 さらに酷いことに、いくつかのデータはサードパーティーとシェアされていることが判明しており、オンライン・マーケティングやウェブ分析企業の名前が、ファイルに並んでいたとのことです。

 <省略>なお、どのようにすれば解除出来るのかは分かっていません。

http://iphone-mania.jp/news-87019/ - 2015年9月26日 08:16 - ウェブ魚拓

 
今のところ防ぐ手段がわかっていない、という結びに慌てて目の前のThinkPadのネットを切断、トラックポイントの赤いボタンを見つめ「ThinkPad、お前もか」と一言。

その後、したり顔で妻に如何にLenovoがダメなのかを説明し、新しいPCを買ってはいかがでしょうかという交渉を挑み玉砕(2ヶ月ぶり3度目)。

しばらくして、スマホから衝撃の記事を再びチェックするといつのまにか追記がされていました。どうやら回避手段があるようです。

f:id:tyoro_ge:20150928232647p:plain

タスクスケジューラで当該タスクがあればそれを無効にすれば良いようです。たとえば、Windows8であれば、Winキー+Sで検索を開いて「タスクのスケジュール」を検索して開いて、アクティブなタスクを確認。「Lenovo Customer Feedback Program」を無効にします。
 

記事への不信感

さて一段落したところで、あらためてこの記事ちょっとうさんくさくないか?という疑念が浮かんできました。気になったのは次の点です。

  • ソースが曖昧
    • 当初、今回の問題を最初に指摘したComputerWorldという媒体の記事へリンクが貼られておらず、それを紹介するBGRという媒体の記事へリンクが貼られていた(BGRからはComputerWorldへのリンクが貼られているのに)。
  • 元ソースで使われていない表現を使っている
    • ComputerWorldの記事とBGRの記事ではスパイウェアという単語を直接使っていないが「またLenovo!今度はThinkPadにスパイウェアを潜ませていたことが発覚」というタイトルにしている。
    • ComputerWorldの記事とBGRの記事では明確に書かれていない「マーケティング会社にデータを転送」という表現を使っている。
  • ミスリードを起こしそうな文章
    • まるでsuperfishと同じ問題がThinkPadでも起きたかのように受け取れる文章「2015年2月にも、Superfishなる悪質なアドウェアを埋め込んでいることが明らかとなり、大スキャンダルに見舞われたLenovoですが、この時同社の見解は、「Thinkシリーズには埋め込んでいない」というものでした。しかし、今回は図ったかのように、全てのThinkシリーズが対象となっています。」
    • どのようなデータが外部に送られているのか記事からは一切不明。スパイウェアという言葉から読者が連想するデータが勝手に第三者に送信されていると受け取れる。

この記事はもしかして、センセーショナルなタイトルで煽ってるけれど丁寧に調べて書かれていないのでは?と不安がよぎりました。
 

大元の記事を読んでみる

自分なりに整理するために、始めに今回の問題を指摘したComputerWorldの該当記事を読んでみます。

www.computerworld.com

ここでもどのようなデータがどこに送られているのか、具体的な内容は書かれていませんでした。唯一分かるのはそういったことをしているかもしれないタスクがスケジュールされているという点です。

さらに、記事の下部にあるコメント欄には記事への否定的な意見がいくつか投稿されています。

This is hardly indicative of anything malicious and doesn't even come close to the level of spyware. This task is no different than similar product telemetry and customer experience feedback programs that many vendors use and have for years.(適当意訳:これはスパイウェアのレベルではないよ。他のベンダーもやっているユーザー・エクスペリエンスのフィードバックプログラムと違いがないよ。)

 

Your article is based on opinion not facts.(適当意訳:あなたの記事は事実ではなくて個人的な判断に基づいていない?)

 

また、タスクスケジュールはWindowsの基本操作で確認できますが、記事ではなぜか「TaskSchedulerView」というソフトウェアを使うように誘導しています。

しかもこの記事の筆者が同じ媒体の別記事で同ソフトを紹介する記事を書いていたこともあり、アクセスを稼ぐために刺激的な内容にしたんじゃない?という指摘も投稿されています。

This article feels more like a publicity stunt than anything else. (適当意訳:この記事は何よりも売名行為のように感じられます。)

タスクスケジューラはWindowsの操作でこうやって見られるんだよ、と皮肉った書き込みも。

There is a Task Scheduler application built into the Windows OS. If you want to review your Task Scheduler on a Windows PC, you can search for it from the start menu, or go to the c: drive and search for Task Scheduler. From the native Task Scheduler application, you can run, end, disable, look at the properties, etc., for any task.

こちらはPowerShell版。

By the way, if you are running Windows 8 or later you should be able to use PowerShell to see all of your scheduled tasks without having to navigate the Task Scheduler. Open a PowerShell prompt and type:

get-scheduledtask

Or for something with a bit more detail try this one-line expression:

get-scheduledtask | Select Taskpath,Taskname,Description,State,@{Name="Action";Expression={$_.actions.Execute}} | out-Gridview -title "Scheduled Tasks"

 
また、全文の意味が取れないので引用しませんが、コメントの一つには「clickbait(釣りタイトル)」という単語も。

というわけで、ITと英語に精通している訳ではないので私が読み違えている可能性もありますが、私が記者であれば「またLenovo!今度はThinkPadにスパイウェアを潜ませていたことが発覚」というタイトルをつけるのはためらってしまう内容でした。

 

他の媒体の記事を読んでみる

さらに第三者の意見を知るためにRedditなどを流し読みしてみると、大元の記事を事実としたうえでLenovoを否定する声がほとんどでしたが、否定的な声もいくつかみつかりました。

redditでは他のベンダーでもやっているよという投稿がありました。

A lot of applications(even very popular ones) do it by default.First picture is Firefox, second is of Chrome, third is of Mozilla Thunderbird.(適当意訳:多くのアプリケーションでもデフォルトでやってるよ。)  

View post on imgur.com
https://www.reddit.com/r/pcmasterrace/comments/3m2uth/slug/cvc1245

Slashdotではどういったデータが送信されているか調べた上で、無害なんじゃない?と言及する投稿がありました(私ではこの投稿の信頼性は判断できませんが…)。

So the collected data looks mostly harmless and somewhat anonymous, as far as posting data to a website with a stored ID can be considered harmless.(適当意訳:集められたデータはだいたい無害で匿名化されているようだよ、まぁ、匿名化されたIDをつかって送信されてるかぎりは、だけど。)

Lenovo Collects Usage Data On ThinkPad, ThinkCentre and ThinkStation PCs - Slashdot

  

スパイウェアとは?

果たしてThinkPadにスパイウェアは入っていたのでしょうか?整理するために、まず「スパイウェア」の定義を調べてみます。

利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集 するプログラム等

スパイウェア対策のしおり IPAセキュリティセンター

 

スパイウェアとは、しばしば最初にユーザーの同意を適切に得ることなく、以下のような特定の動作を実行するソフトウェアを表現した一般的な用語です。 広告の表示 個人情報の収集 コンピューターの設定の変更

マイクロソフトセキュリティセンター

 

スパイウェア とはパソコンを使うユーザーに無断で特定の場所にある個人情報やユーザーの行動などを収集し、取得した情報をマーケティング会社など スパイウェア の作成元に送付するアプリケーションソフトのことです。また、このような動作をスパイ活動と呼びます。

「スパイウェア」とは? - Lenovo Support (JP)

Lenovoのページには、はてブのコメントでお前が言うなというツッコミがしっかりと刻み込まれていますね。

で、若干定義にバラツキはあるものの、今回のケースに当てはめるとポイントは2つありそうです。

1つは事前に同意があったかどうか、もう1つはユーザーの個人情報や機密情報が収集されているか。

今回の各記事では、事前の同意の曖昧さについては詳しい説明がありますが、収集される情報については説明がありません。

何か情報を送ってそうなタスクがあるけど事前に明確な同意とってたっけ?という内容をもってThinkPadにスパイウェアが入っている!と騒ぎ立てるのは尚早だったんじゃないでしょうか(個人の感想ですが)。

 

まとめ

Lenovoの公式見解について

ダラダラと記事を書いているうちに、Lenovoが今回の問題について公式見解を出したようです。

news.lenovo.com

Lenovoの声明によれば、同社製品にはバックグラウンドでデータを送信するソフトウェアが搭載されているが、このことはソフトウェア利用許諾契約に明記されており、他社の製品やスマートフォンなどと同様、その目的は統計的な利用データの収集/活用による製品改善。このデータはユーザー個人や使っている端末とは紐付いておらず、個人を特定することはできないとしている。

Lenovo、ThinkPadのスパイウェア疑惑について声明 〜個人データは収集していない - PC Watch

 
ThinkPadにスパイウェアは入っていませんよ、ということなので、各記事への疑念は当たっていたようです。

ですが、1度目2度目の流れを見てきた私としては正直に言うと文面通り信じられないという側面もあります。同じ印象を持っている方もいると思います。

どういうデータがどう個人への紐付けなしにどこに送られてどう活用されているのか具体的な説明が合ったほうが良いと思いますし、それが事前にわかるように利用許諾契約に記載してユーザーから明確な同意を得るフローを設けるべきだと思います。

f:id:tyoro_ge:20150929024925j:plain

個人的には、現在の利用許諾契約の記載は曖昧な部分があるように受け取れます。
 
reddit等をみていると、Lenovoとvolkswagenを併記する書き込みをいくつか見ました。失った信頼を取り戻すのは簡単ではないのだと思います。
 

問題を指摘した記事について

ところで、スパイウェアと断罪していた記事に戻ってみると……

iphone-mania.jp

なんということでしょう、いつの間にか「スパイウェア」という言葉がきれいさっぱり消えているではないですか。そして、本文の修正加筆もあわせてどこをどう変えたのか記載されていません。また、現在書かれている内容もLenovoの公式見解とは乖離があるように読めます。

すでにLenovo製品は買うまいと決めた私への影響はありませんけれども、このサイトはGoogleでニュースサイト扱いになっていますし、「スパイウェア」と書かれた段階で記事を読んだ人への影響はそれなりにあるような…。

事実かどうか保証せずに速報的に伝えるというスタンスでもいいかもしれませんが、そうであれば元記事の情報を正確に伝えるべきですし、訂正があれば履歴を残すべきだと思います。

というわけで、Lenovoとそれを取り巻くニュースサイトの問題についてまとめました。今後、Lenovoの問題を指摘する記事が出たら、しっかり事実を確認した上で、妻へ新しいPC購入の交渉をしようと思いました。