画像提供:マイナビニュース

写真拡大

Lenovoは2018年1月25日(米国時間)、「Lenovo Fingerprint Manager Pro for Windows 7, 8, and 8.1 only (not 10) Insecure Credential Storage」において、Lenovoの複数のPCに搭載された指紋認証マネージャー「Lenovo Fingerprint Manager Pro」に脆弱性が存在していると伝えた。

ユーザーのアカウントデータや指紋データなどの扱いにおいて弱い暗号アルゴリズムを使用していたこと、ハードコードされたパスワードを保持していたこと、管理者権限を持たない一般のローカルユーザーがこうしたデータにアクセスできる状態になっていたと説明している。

Lenovo Fingerprint Manager ProはWindows 7、Windows 8、Windows 8.1向けのユーティリティ。Windows 10ではデフォルトの指紋読み込みシステムが使われているため、Lenovo Fingerprint Manager Proは使われていない。

今回発表された脆弱性の影響を受けると見られるプロダクトは次のとおり。

ThinkPad L560

ThinkPad P40 Yoga、P50s

ThinkPad T440、T440p、T440s、T450、T450s、T460、T540p、T550、T560

ThinkPad W540、W541、W550s

ThinkPad X1 Carbon (Type 20A7、20A8)、X1 Carbon (Type 20BS、20BT)

ThinkPad X240、X240s、X250、X260

ThinkPad Yoga 14 (20FY)、Yoga 460

ThinkCentre M73、M73z、M78、M79、M83、M93、M93p、M93z

ThinkStation E32、P300、P500、P700、P900

Lenovoは2018年1月29日(米国時間)に発表内容を更新しており、Windows 10を搭載したモデルは今回の脆弱性の影響を受けないとしている。この脆弱性の重要度は高(High)に位置づけられている。該当するプロダクトを使用している場合は問題が修正されたFingerprint Manager Pro version 8.01.87またはこれ以降のバージョンにアップグレードすることが推奨される。