LenovoのPCで情報漏洩などのセキュリティリスクをどう考えるか

[最終更新] 2018年6月17日

職場で入社する社員に割り当てるPCのことで相談された。内容を突き詰めると、LenovoのPCってどうなの?ということだ。性能に対して安いけれど、色々やらかしているメーカーだからねぇ。

オススメはしないけれど、性能面では文句ないので、まぁそういうメーカーだ、ということを頭に置いておけば、別に良いんではないかと思う。以下に、色々と調べたり考えたりしたことのメモを残す。

スポンサーリンク

PCの選択

昨今ドンドン厳しくなってきたPC業界。色々なメーカーが現れては消え、中華メーカーの他にはHPやDELLなどいくつかの老舗を残し、気づけばほとんど淘汰され、燦然と輝くのはApple社のMac。

個人的には、PCはMacか開き直ってChromebookが良いと思うのだけれど、まぁWindowsで慣れているとか、業務用アプリケーションの都合でとか、開発環境がとか、そういった理由でWindows縛りはまだまだ存在する。

まぁWindowsならばメーカーの選択肢は広がる。それが良いところであり面倒臭いところでもある。自分のPCなら選択肢があるのは楽しいことだけれど、ビジネス用途だと途端にただただ面倒くさい。そういうのが好きだという人もいるんだろうけれど……。

さて、そこそこの値段でそこそこの性能を、と考えたら、今ならHuawei、ASUS、Lenovoあたりだろうか。今回考えるのはLenovoである。Huaweiの勢いに押され気味ではあるものの、後進が出てきたことで若干の老舗感が出てきた気がしなくもない(DELLに至っては昔ながらの高級ブランドメーカーという気さえする)。

Lenovoは色々と前科のあるメーカーである。ユーザーからの評判は芳しくない。ThinkPadがLenovoに吸収された時に、絶望感を覚えた人も多くいるだろう。しかし、値段に比して性能が高いことについては、皆が認めるところだろう。価格が安い、ということの訴求力は凄まじいので、色々やらかしている中華メーカーということを鑑みてなお、ほんとにダメなん?ということになるのだろうなぁ。

Lenovoってどうよ

ということで、そこんとこどうなのか知りたいと、自分にお声がかかったわけだが、私だって別に専門家でもなんでもないわけで(しかもメインはMacなわけで)、正直に言うと「知らんがな」なんだが、まぁ中華メーカーのリスクについては知っていても良いかなとも思い、軽く調べることにした。

あんしんテレワークPC(2018)

まずLenovoの情報漏洩について調べて出てきたのが、あんしんテレワークPCなる、情報漏洩の保険を付帯したサービスの話(「レノボ、ThinkPadシリーズに情報漏えいなどのトラブルなどに対応する保険を付帯した「あんしんテレワークPC」 – クラウド Watch」)。

正直笑った。お前がそれやるんかと思ったのは自分だけではないと思う。まぁでもこういう取り組みをしていることは、セキュリティを意識してますよというアピールでもあるんだろうか。意識が高まっている、なら良いのだけれど。

参考

 

LSE問題(2014-2015)

Lenovoのプリインアプリ「Lenovo Service Engine」がやらかした話。BIOSに組み込まれたソフトウェアで、どうやら自社のソフトが消されても強制的に再インストールするようなものであったらしい。そのやり方がまるでrootkitだとか言われ、さらにセキュリティの脆弱性が見つかって、Lenovoは削除ツールを配布することになった。後述のSuperfish問題と合わせて、Lenovoの信頼を大きく失墜させた。元からなかったと言われるとそうかもしれない。

参考

Superfish問題(2014-2015)

有名なSuperfish問題。「レノボ、危険なSuperfishアドウェアのプリインストール問題でFTCと和解 – CNET Japan」によると

FTCは、Lenovoが2014年9月から12月にかけて、同社製ノートPCの一部にSuperfishという企業の広告ソフトウェア「VisualDiscovery」をプリインストールしていたとして告発した。VisualDiscoveryは、ユーザーのウェブ検索と閲覧行動を追跡して、訪問するサイト上に追加の広告を配信する。FTCによると、VisualDiscoveryはさらにユーザーのブラウザとウェブサイトのやり取りにも干渉して、ユーザーを深刻なセキュリティ上の脆弱性にさらすおそれがあるという。

うーんこれはアウト。ユーザーのデータ収集だけならいざしらず、アドウェアはやり過ぎと思う。しかもセキュリティリスクが存在するってお粗末。やり過ぎかつお粗末。アメリカでは訴訟問題にまで発展。

前のLSE問題にしても、かなり強権的なことをしようとしているが故に、セキュリティリスクが高まってしまった面があるだろうなぁ。

参考

Baidu問題(2013)

あのBaiduが入力情報を百度に送りまくっていたことが明らかになった事件。Lenovoの問題ではないのだが、Lenovo PCだと標準でプリインストールされたケースもあったようで、色々と騒ぎになっていた(lenovo、Kingsoftユーザは注意)百度(バイドゥ)IMEが入力情報を無断で送信すると言われている件(NHKニュースにも):吉政忠志のベンチャービジネス千里眼:オルタナティブ・ブログ)。

まぁでもいいんでないの

2015年に大きな事件が重なっている。やはりここ数年だと、LSE問題とSuperfish問題が大きな影を落としていると思う。逆に言うと、それ以来は特に大きな事件は起きてないように見える。Superfishは訴訟問題にまで発展したし、多少はマシになったんだろうか。

情報収集自体はどこも多かれ少なかれやっていることだけれど、中華メーカーの場合、中国共産党の影がチラつくのがたいへん気持ち悪い。メーカーとしては、危ない橋を渡ってもユーザーが離れるだけっていうのは重々承知しているんだろうけれど、それでもやるってのはやっぱり、共産党の影響から免れないのかしら、なんて思うわけだ。百度の件なんて完全に合わせ技だし、中華メーカーがグルになって情報抜き取りに来ている、と考えられるのも致し方ない面があるかと(参考記事「英情報機関、レノボ製品の使用禁止を勧告 : Intelligence News and Reports」)。強権的な情報収集の試みはセキュリティの脆弱性にも繋がるしねぇ……。

とはいえ、ここ3年くらいは比較的静かなのも事実。なのでまぁ、そういうメーカーだ、ということを念頭に置いて作業するのであれば、別に問題ないのではなかろうか。つまり機密性と漏洩した時のリスクが極めて高いファイルを扱わないということだが、防衛省の職員じゃあるまいし、いち中小企業の一般社員が危惧するようなことではないだろう。あとはまぁ、プリインストールのアプリケーションについて、一度きちんと精査してから使う、くらいかねぇ……。

こんなんとか→「Lenovoのシステムにはインターネット上のサーバーと通信するソフトウェア・コンポーネントが含まれている場合がある – ThinkCentre, ThinkStation, ThinkPad」あったら消したほうがよかろうね。

Lenovoより気持ち高いかもくらいなASUSは、台湾だけれどあまり変な話もないし(やっぱ共産党の影響が少し薄まるのかしら?知らんけど)、ASUSにしたらいいのに、とか言って終わり。

関連コンテンツ

関連記事

スポンサーリンク

コメントを残す

メールアドレスが公開されることはありません。