ノートブック用 Lenovo Service Engine (LSE) BIOS
ノートブック用 Lenovo Service Engine (LSE) BIOS
ノートブック用 Lenovo Service Engine (LSE) BIOS
レノボ セキュリティ アドバイザリー: LEN-2015-020
潜在的影響:特権昇格
重要度: 高
概要: Lenovo Service Engine (以下、”LSE”と表記) に脆弱性が見つかりました。レノボは Windows 7, 8, 8.1およびWindows 10 を搭載したノートブックで、LSE を無効化する BIOSアップデートと、関係するサービスやファイルを削除するユーティリティーをリリースしました。以下のリストにLSEを搭載したノートブックを記します。
Lenovo Service Engine (LSE) は一部の Lenovo ノートブックの BIOS に組み込まれた、OneKey Optimizer (http://support.lenovo.com/jp/ja/downloads/ds101321) というソフトウェアのダウンロードに使用されるユーティリティーです。このユーティリティーは個人情報と関係ないシステムデータを自動的にレノボの専用サーバーに送信します。(データの詳細は“その他の情報および引用”を参照してください。)
レノボ、Microsoft社および独立研究者は、バッファーオーバーフロー攻撃やレノボ テストサーバー接続など、このユーティリティーが攻撃者に悪用される方法を発見しました。
LSE は Microsoft Windows Platform Binary Table (以下、”WPBT”と表記) 機能を使用しています。最近、Microsoft社からこの機能の使用に関する新しいセキュリティ ガイドラインがリリースされましたが、レノボによる LSE の使用方法がこのガイドラインに合致しないため、レノボは LSE を無効化し、 LSE に関係するファイルを削除するディセーブラ ツールを利用して削除することをおすすめします。そのユーティリティーのダウンロードと実行方法は以下の手順を参照してください。
LSE は、Windows 7, 8 または 8.1 がプリインストールされた一部のノートブックに搭載されていました。
※LSE 機能は2015年6月以降に制動された製品には搭載されていません。
お客様による対策:
LSE は、Windows 7, 8 または 8.1 がプリインストールされた一部のノートブックに搭載されました。レノボがリリースしたディセーブラ ツールはWindows 7, 8, 8.1 および 10 (Windows 10 に手動でアップグレードされた場合) に対応します。
- Lenovo LSE ディセーブラ ツールを管理者として実行します。コマンドライン画面が約30秒間表示され、自動的に閉じます。Lenovo LSE ディセーブラ ツールは こちら から入手できます。
ディセーブラ ツールは以下の操作を自動的に実行します。- LSE サービスを停止します。
- LSE モジュールによってインストールされたすべてのファイル (下記含む) を削除します。
C:\windows\system32\wpbbin.exe
C:\windows\system32\LenovoUpdate.exe
C:\windows\system32\LenovoCheck.exe - Windows の自動チェックファイルを修正します。
- Windows 8, 8.1 または 10 を UEFI モードで実行の場合、LSE を有効にする UEFI 変数を無効化します。
- コンピューターを再起動します。
- BIOS を最新バージョンにアップデートしてください。最新のアップデートは以下のURL からダウンロードして下さい。最新バージョンにアップデートするには、対象となる修正バージョンである必要があります。最新の BIOS は LSE 機能を無効化します。
- (※は日本で販売実績のあるモデル)
(8/31更新) #は日本で販売したモデルは対象外です - Lenovo LSE ディセーブラ ツール付属のリリースレター (Readme ファイル) に記載されている手順に従って、ディセーブラツールを実行してください。コマンドライン画面が約30秒間表示され、自動的に閉じます。Lenovo LSE ディセーブラ ツールは こちら から入手できます。
ディセーブラ ツールは以下の操作を自動的に実行します。- LSE サービスを停止します。
- LSE モジュールによってインストールされたすべてのファイル (下記含む) を削除します。
C:\windows\system32\wpbbin.exe
C:\windows\system32\LenovoUpdate.exe
C:\windows\system32\LenovoCheck.exe - Windows の自動チェックファイルを修正します。
- Windows 8, 8.1 または 10 を UEFI モードで実行の場合、LSE を有効にする UEFI 変数を無効化します。
- コンピューターを再起動します。
モデル(※は日本で販売実績のあるモデル)
(8/31更新) #は日本で販売したモデルは対象外です
Flex 2 Pro-15 / Edge 15 (Broadwell) |
Flex 2 Pro-15 / Edge 15 (Haswell) |
Flex 3-1470/1570 |
Flex 3 (1120) ※ |
G40-80 / G50 (G50-80) ※ / G50-80 Touch / V3000
|
S21e (S21e-20) #
|
S41-70 / U40-70 |
S435 / M40-35 |
YOGA 3 (1470) ※ |
YOGA 3 (1170) ※ |
Y40-80 |
Z41-70 / Z51 (Z51-70) ※ |
Z70-80 / G70-80 |
(注)本アドバイザリーはレノボ本社の英文を翻訳したものであり、対象機種には日本で発売されなかったモデルも含まれます。
本問題を報告してくださったRoel Schouwenberg 氏とMicrosoft 社に感謝を表明いたします。
その他情報および引用:
LSE は、お客様による弊社製品の使い方をより理解するため、レノボのサーバーに特定のシステムデータを自動的に送信します。これらのデータに個人情報は含まれません。収集されるデータは、製品名、地域と構成情報 (メモリー容量、SKU番号、CPU モデル、画面の解像度、ハードディスク容量、ディスプレイカードモデル、およびOSバージョン) で、インターネット接続時に送信されます。
Microsoft WPBT 資料へのリンク:
編集履歴:
リビジョン |
日付 |
説明 |
1.0 | 2015年7月31日 | 新規作成 |
ご意見はサイトの改善に活用いたします。