Lenovoは4月18日(現地時間)、「Lenovo Notebook BIOS Vulnerabilities - Lenovo Support」において、同社が提供しているノートパソコンのBIOSに3つの脆弱性が存在すると伝えた。これら脆弱性を悪用されると、意図せずファームウェアの書き換えが行われる恐れがあるとされている。影響を受けると見られるノートPCは世界中で数百万のユーザーがいる可能性があり注意が必要。
脆弱性の影響を受けるとされるノートパソコンは次のとおり。
- Flex 3-11ADA05 Laptop (ideapad)
- IdeaPad 3 15ADA05 Laptop
- IdeaPad 3-14ADA05 Laptop
- IdeaPad 3-14ADA6 Laptop
- IdeaPad 3-14ALC6 Laptop
- IdeaPad 3-14ARE05 Laptop
- IdeaPad 3-14ARE05 Laptop
- ideapad 3-14IGL05 Laptop
- ideapad 3-14IIL05 Laptop
- ideapad 3-14IML05 Laptop
- ideapad 3-14ITL05 Laptop
- ideapad 3-14ITL6 Laptop
- IdeaPad 3-15ADA6 Laptop
- IdeaPad 3-15ALC6 Laptop
- IdeaPad 3-15ARE05 Laptop
- IdeaPad 3-15ARE05 Laptop
- IdeaPad 3-15IGL05 Laptop
- ideapad 3-15IIL05 Laptop
- ideapad 3-15IML05 Laptop
- ideapad 3-15ITL05 Laptop
- ideapad 3-15ITL6 Laptop
- IdeaPad 3-17ADA05 Laptop
- IdeaPad 3-17ADA6 Laptop
- IdeaPad 3-17ALC6 Laptop
- IdeaPad 3-17ARE05 Laptop
- IdeaPad 3-17ARE05 Laptop
- IdeaPad 3-17IIL05 Laptop
- ideapad 3-17IML05 Laptop
- IdeaPad 3-17ITL6 Laptop
- ideapad 5-15ARE05 Laptop
- ideapad 5-15IIL05 Laptop
- ideapad Creator 5-15IMH05 Laptop
- ideapad Gaming 3-15ARH05 Laptop
- ideapad Gaming 3-15IMH05 Laptop
- L3-15IML05 Laptop (ideapad)
- L3-15ITL6 Laptop (ideapad)
- L340-15IRH Gaming Laptop (ideapad)
- L340-15IWL Laptop (ideapad)
- L340-15IWL Touch Laptop (ideapad)
- L340-17IRH Gaming Laptop (ideapad)
- L340-17IWL Laptop (ideapad)
- Legion 5 Pro-16ACH6 Laptop (Lenovo)
- Legion 5 Pro-16ACH6H Laptop (Lenovo)
- Legion 5 Pro-16ITH6 Laptop (Lenovo)
- Legion 5 Pro-16ITH6H Laptop (Lenovo)
- Legion 5-15ACH6 Laptop (Lenovo)
- Legion 5-15ACH6A Laptop (Lenovo)
- Legion 5-15ACH6H Laptop (Lenovo)
- Legion 5-15IMH6 Laptop (Lenovo)
- Legion 5-15ITH6 Laptop (Lenovo)
- Legion 5-15ITH6H Laptop (Lenovo)
- Legion 5-17ACH6 Laptop (Lenovo)
- Legion 5-17ACH6H Laptop (Lenovo)
- Legion 5-17ITH6 Laptop (Lenovo)
- Legion 5-17ITH6H Laptop (Lenovo)
- Legion 7-16ACHg6 Laptop (Lenovo)
- Legion 7-16ACHg6 Laptop (Lenovo)
- Legion 7-16ITHg6 Laptop (Lenovo)
- Legion S7-15ACH6 Laptop (Lenovo)
- Legion S7-15ARH5 Laptop (Lenovo)
- Legion S7-15IMH5 Laptop (Lenovo)
- Legion Y540-15IRH Laptop (Lenovo)
- Legion Y540-15IRH-PG0 Laptop (Lenovo)
- Legion Y540-17IRH Laptop (Lenovo)
- Legion Y540-17IRH-PG0 Laptop (Lenovo)
- Legion Y545 Laptop (Lenovo)
- Legion Y545-PG0 Laptop (Lenovo)
- Legion Y7000-2019 Laptop (Lenovo)
- Legion Y7000-2019-PG0 Laptop (Lenovo)
- Lenovo S14 G2 ITL
- S145-14API Laptop (ideapad)
- S145-14AST Laptop (ideapad)
- S145-14IGM Laptop (ideapad)
- S145-14IIL Laptop (ideapad)
- S145-15API Laptop (ideapad)
- S145-15AST Laptop (ideapad)
- S145-15AST Laptop (ideapad)
- S145-15IGM Laptop (ideapad)
- S145-15IIL Laptop (ideapad)
- S540-13API Laptop (ideapad)
- S540-13IML Laptop (ideapad)
- Slim 7 Pro-14IHU5 Laptop (IdeaPad)
- Slim 9-14ITL05 Laptop (ideapad)
- V14 G1-IML Laptop (Lenovo)
- V14 G2-ALC Laptop (Lenovo)
- V14 G2-ITL Laptop (Lenovo)
- V14-ADA Laptop (Lenovo)
- V14-ARE Laptop (Lenovo)
- V14-ARE Laptop (Lenovo)
- V14-IGL Laptop (Lenovo)
- V14-IIL Laptop (Lenovo)
- V140-15IWL
- V15 G1-IML Laptop (Lenovo)
- V15 G2-ALC Laptop (Lenovo)
- V15 G2-ITL Laptop (Lenovo)
- V15-ADA Laptop (Lenovo)
- V15-IGL Laptop (Lenovo)
- V15-IIL Laptop (Lenovo)
- V17 G2-ITL Laptop (Lenovo)
- V17-IIL Laptop (Lenovo)
- V340-17IWL Laptop (Lenovo)
- Yoga 7-14ACN6 Laptop (ideapad)
- Yoga C740-14IML Laptop (Lenovo)
- Yoga C740-15IML Laptop (Lenovo)
- Yoga C940-14IIL Laptop (ideapad)
- Yoga Slim 7 Pro-14ACH5 D
- Yoga Slim 7 Pro-14ACH5 Laptop (ideapad)
- Yoga Slim 7 Pro-14ACH5 O Laptop (ideapad)
- Yoga Slim 7 Pro-14ACH5 OD
- Yoga Slim 7 Pro-14ARH5 Laptop (ideapad)
- Yoga Slim 7 Pro-14IHU5 Laptop (ideapad)
- Yoga Slim 7 Pro-14IHU5 O Laptop (ideapad)
- Yoga Slim 7 Pro-14ITL5 Laptop (ideapad)
- Yoga Slim 9-14ITL05 Laptop (ideapad)
これら脆弱性はESETのセキュリティ研究者が発見したものとされており、発見の経緯や脆弱性の詳細は、「When “secure” isn’t secure at all: High‑impact UEFI vulnerabilities discovered in Lenovo consumer laptops | WeLiveSecurity」において解説されている。2つの脆弱性は、出荷前に無効化されるべき機能がそのまま有効になっていたために引き起こされたものと指摘されている。
2022年に入ってからパソコンのBIOS/UEFIにセキュリティ脆弱性が見つかるケースが続いている。
- OSの再インストールにも耐える脆弱性がUEFIに発見、影響範囲は広大 | TECH+
- 数百万台のHP製パソコンに、OSセキュリティ機能回避できる脆弱性 | TECH+
- DELL製パソコンのBIOSに重要な脆弱性、対象製品が多く注意 | TECH+
BIOS/UEFIレベルのセキュリティ脆弱性はオペレーティングシステムの提供するセキュリティ機能を回避できることが多く、悪用された場合には長期にわたって潜伏し続ける可能性がある。