MicrosoftのセキュリティチームSecurity Response Teamが機敏な対応をしている。

米国時間2月19日にLenovoが自社PCにアドウェア「Superfish Visual Discovery」を事前インストールしていたことが明らかになったが、Lenovoが公式にSuperfishの自動削除ツールを提供開始し、Microsoftの「Windows Defender」も2月20日に対応した。Windows Defenderは、MicrosoftがWindows 8以上のPC向けに標準機能として提供するセキュリティツールで、新しい定義は自動でインストールされ、該当するウイルスの検出と削除を行う。

削除プロセスの効果を実験する目的で、私はセキュリティ専門家に提供してもらったSuperfishパッケージを自分のPCにインストールし、Superfishアプリケーションと危険なルート証明書がちゃんと加わったことを確認した。

Windows Defenderは午前3時に自動インストールされた定義を使って私の仮想PCをスキャンしたが、なにも検出しなかった。そこで、手動ベースで最新の定義に更新してクイックスキャンを試したところ、Lenovoの証明書を検出し、すぐに削除するよう推奨した。ステップに従った後、証明書マネージャをチェックするとルート証明書は正しく削除されていた。

Windows Defenderはサードパーティー製の最新のウイルス対策ソフトが有効になっていない場合に自動で動く。私のマシンのイベントログをみたところ、1日に数回のスキャンとウイルス定義の更新を行っているようだ。だが、他のウイルス対策ソフトが動いている場合は無効となる。たとえば今回のLenovo製PCの問題では、Ars Technicaが指摘しているように、多くのシステムに試用版のウイルス対策ソフトが含まれていたため、購入者がこれを試用したり、あるいはこのウイルス対策ソフトの正式版に申し込んだりした期間中、Windows Defenderは無効になる。

ここ最近、Microsoftに対してWindowsのセキュリティ不具合の対応が遅いという指摘があったが、今回は悪意あるコードがWindowsの一部ではなく、十分なテストは不要という点で質的に異なる。手動による削除プロセスを望まない、あるいは技術的にできないというWindowsユーザーには、朗報といえる。

Windows Defenderで注意が必要なのは、独自の証明書ストアを持つMozilla Firefoxがモニタリングの対象外になっている点だ。自分のPCでスキャンが成功した後にFirefoxの証明書ストアをチェックしたら、危険なルート証明書がインストールされたままになっていて、手動で削除する必要があった。MozillaのCryptographic Engineering ManagerであるRichard Barnes氏は電子メールで、「問題を調査中」だと述べている。

また筆者のPCには「Google Chrome」がインストールされていないので、Chromeもテストできなかったことに注意されたい。ChromeはWindowsの証明書ストアを利用しているので、このようなリスクは回避できていると思うが、念のため、筆者はGoogleにコメントを求めているところだ。