Duo Securityの研究部門であるDuo Labsは、米国時間5月31日に発表した調査結果で、Acer、ASUS、Dell、HP、LenovoのノートPCすべてにプリインストールされているソフトウェアアップデートツールには、ハッカーが容易に悪用できる深刻な脆弱性が1件以上あったと述べた。同社は、これらすべてのPCメーカーの製品について、OEMソフトウェアに関係する計12種類の脆弱性を発見した。
OEMソフトウェアには、あらかじめノートPCにインストールされている製品登録や30日間の無料体験版のようなプログラムが含まれる。こうしたプログラムは、ほとんどが不必要で、ユーザーが望んでインストールしたわけではないため、往々にして「ブロートウェア」(無駄に容量を占有するソフトウェア)と呼ばれる。Duo Labsによると、ブロートウェアは不必要なだけでなく、往々にしてセキュリティ上の防壁における弱点になるという。
Duo Labsのセキュリティ研究者Darren Kemp氏は米国時間5月31日、同社のブログに次のように記している。「われわれが発見した脆弱性の多くを悪用するのに必要な知識のレベルは、Duoのランチルームの床に付いたコーヒーの染みと平均的な鉢植えの中間あたり、つまり、ごく低いということだ」
Duo Labsの調査は、不必要なソフトウェアの危険性を浮き彫りにしている。ユーザーがほとんど使わない(あるいは、そもそもPCに入っていることを知らなかった)プログラムは、たいてい期限切れになり、セキュリティ脆弱性を招く。また、多くのPCベンダーは基本的なセキュリティ対策をこれらアップデートツールに組み込めていなかったと同調査は指摘する。このような状況が発生すると、ブロートウェアは煩わしい存在から危険な存在へと変わる。
Duo Labsによると、これらのOEMアップデートツールが生む脆弱性から自衛するために、ノートPCの所有者にできることはわずかしかないという。予防措置は存在するが、多くの時間と労力を必要とする。研究チームは、OEMシステムを一掃して、ブロートウェアが含まれない「Windows」を再インストールすることや、不要なソフトウェアをアンインストールすることを推奨している。
Duo Labsは、今回のPCメーカーを認知度が高いブランドであることを理由に選んでいるが、これらの脆弱性を報告しており、それらメーカーの一部はすでに修正を実施している。Duo Labsによると、多くの場合、これらのOEMアップデートツールにおける暗号化の一貫した利用が、こうした脆弱性を突くことを大幅に困難にするという。
HPは危険度が高レベルの脆弱性をすでに修正した、とDuo Labsは述べている。Lenovoは、アップデートをリリースして、脆弱性のあるソフトウェアをすべての自社製ノートPCから削除する予定だ。
Duo Labsによると、AcerとASUSは、脆弱性を認めたが、まだ修正していないという。
Dellは、Duo Labsが報告する前に、問題の多くを修正するアップデートをリリースした。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
