メルトダウン/スペクター事件に関する米国政府の調査に対し、インテルとその他の企業は、脆弱性の開示を禁じることは正しい選択であると同意した。
米国政府は、これらの脆弱性について事前に知っていたわけではなく、一般市民が知った後に初めて知った。議会はこの事件に関する調査を開始し、Intel、Amazon、Apple、Google、Microsoft、AMD、Armなどの企業に書簡を送付した。この書簡はここに掲載されており、9つの質問が含まれている。特に興味深いのは、企業がなぜ脆弱性に関する情報を非公開にすることにしたのか、そして企業が脆弱性が米国のインフラに及ぼすリスクや開示を遅らせることのリスクを分析したかどうかである。
各社からの回答書簡が公開され、メルトダウン/スペクター事件に至るまでの経緯について興味深い見解が示されています。回答書簡によると、Googleは脆弱性を他社に開示することから取り組みを開始し、各社はGoogleの標準ポリシー、すなわち公開前に90日間の修正期間を設けることに合意しました。問題の深刻さを鑑み、各社とGoogleは当初予定していた1月9日まで期間を延長することで合意しました。
当然のことながら、インテルの書簡に注目が集まるだろう。同社は、情報公開停止措置を維持し、後に延長したことは正しかったと考えていると述べた。その理由は、限定的な情報公開によって修正プログラムの開発が可能になる一方で、公開すれば攻撃者がエクスプロイトを開発する速度が速まり、企業が脆弱性の修正に奔走する中で、対応が追いつかなくなる可能性があったためだ。
インテルはまた、メルトダウン/スペクターが米国のインフラにとってリスクになるとは考えていないと述べた。同社は、脆弱性が悪用されたという証拠はなく、エクスプロイトコードはローカルで実行される必要があると述べた。米国のインフラのほとんどが組み込みシステムで、組み込みコードが実行され、インターネットにアクセスできず、複数のプログラムを同時に実行できないことを理解していたため、メルトダウン/スペクターをその地域における脅威とは考えていなかった。
インテルは、米国政府に脆弱性を開示しなかった理由については明らかにしなかったが、一部のパートナー企業には開示していたことを認めた。1月下旬には、禁輸措置期間中にインテルが中国政府と密接な関係にある中国企業と脆弱性について話し合っていたとの噂が流れたが、インテルは書簡の中で具体的な企業名を挙げなかった。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Googleの対応も興味深い。同社は、他社の脆弱性を発見し、通知する中立的な立場こそが真の責任であると考えている。90日間の猶予期間は、他社が従うかどうかを選択できるポリシーである。米国政府やその他の関係者に開示するかどうかの判断は、各社に委ねられている。Googleの回答は率直で、他社の脆弱性がもたらすリスクを分析していないとしている。この回答は、事実上チップメーカーを非難する他のソフトウェア企業とは少し異なる。
AMDとArmの対応は予想通りだ。AMDはGoogleの期限に同意し、脆弱性をいかなる関係者にも開示しなかった。AMDの書簡では、AMDが脆弱性の存在を認めているSpectre脆弱性についてはほとんど言及されていない。Armは、自社のビジネスモデルにはIPの直接ライセンスとアーキテクチャIPのライセンスが含まれており、チップ製造は含まれていないと指摘している。したがって、Armは自社設計のライセンスを受けたチップに対して部分的な責任を負っているものの、修正する能力はない。Armは、この問題について顧客と協力してきたと述べた。
進行中のメルトダウン/スペクター問題において、インテルは依然として注目の的となっていることは明らかです。なぜインテルが米国政府に脆弱性を開示しなかったのかは疑問です。おそらく、修正プログラムが存在しない状態で開示しても無駄だと判断したのでしょう。インテルを責めるのは簡単ですが、AMDとArmのCPUもこの事件に部分的に関与しており、どちらも脆弱性を開示しなかったことを忘れてはなりません。
