更新、2018年3月13日午後12時45分(太平洋標準時):AMDは、この報告書に関して自社のウェブサイトで声明を発表しました。声明は、既に下記に掲載した内容とほぼ同様ですが、アナリストやメディアに報告した後、当該企業に通知する前にセキュリティ調査結果を公表するのは極めて異例であるという、これまで強調してきた点が強調されています。AMDは、このブログで今後の最新情報を発信していくと述べています。
オリジナル記事、2018年3月13日午前10時16分(太平洋標準時):
イスラエルに拠点を置くセキュリティ企業CTS-Labsは、「AMDプロセッサに関する深刻なセキュリティアドバイザリ」を公開しました。このアドバイザリでは、AMDのRyzenおよびEPYCプロセッサが、4つの異なるクラスにまたがる13件の重大なセキュリティ脆弱性の影響を受けると主張されています。同社はこれらの脆弱性を、Ryzenfall、Masterkey、Fallout、Chimeraの4つのカテゴリに分類しています。
CTS-Labsは異例の方法で情報を公開しました。通常、半導体ベンダーは脆弱性が公開される前に90日以内に対応する必要がありますが、CTS-LabsはAMDにわずか24時間前に通知しました。CTS-Labsは次のように述べています。
公共の安全を確保するため、脆弱性を再現するために使用できる可能性のあるすべての技術的詳細は、この文書から削除されています。CTSは、この情報をAMD、緩和策を開発できる厳選されたセキュリティ企業、および米国の規制当局と非公開で共有しました。以下は、私たちが発見したセキュリティ問題と、それらがユーザーおよび組織に及ぼすリスクについての説明です。
異例の開示内容と裏付けとなる証拠の欠如により、AMDのセキュリティ欠陥とされるものの影響(それが現実のものか想像上のものかは問わない)を評価することは困難です。Spectre/Meltdownの脆弱性を発見した3つの異なる研究者グループが、業界に対し200日間の猶予期間を設けて対策を講じるよう通告していたことは注目に値します。この通告はThe Registerによって明らかにされました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
画像
1
の
4
CTS-Labsは、この小規模企業が新たに開設したサイトamdflaws.comでこの情報を公開しました。同社は、ASMediaチップセットに存在する既知のバックドアの影響を調査している際に、これらの脆弱性を発見したと主張しています。同社によると、これらのバックドアは6年前から存在していたとのことです。
AMDはサードパーティ製チップセットサプライヤーとしてASMediaを採用しており、CTS-LabsはRyzenおよびEPYCチップセットに同様のバックドアを発見したと主張しています。これらのバックドアにより、ハッカーはグローバル管理機能を提供する独立したセキュアプロセッサであるプラットフォームセキュアプロセッサ(PSP)に悪意のあるコードを直接注入できるとされています。
PSP(AMDセキュアプロセッサとも呼ばれる)は、過去に脆弱性が判明したIntelのマネジメントエンジン(ME)とほぼ同様の機能を備えています。AMDもIntelも、プロセッサ上で動作するコードをオープンソース化せず、クローズドソースのLinuxディストリビューションを採用しています。
CTS-Labsは、チップセットの脆弱性をきっかけにAMDのセキュリティ対策全般について調査を行い、新たな脆弱性を発見したと主張しています。個々の脆弱性の詳細については、「AMDのRyzen、EPYCチップにおける新たなセキュリティ欠陥の分析」の記事をご覧ください。
AMDにコメントを求めたところ、次のような声明が返ってきました。
AMDではセキュリティを最優先事項としており、新たなリスクの発生に応じてユーザーの安全確保に継続的に取り組んでいます。現在、先ほど受け取ったこの報告書を調査し、調査方法と調査結果の意義を理解しています。
AMDの声明はやや曖昧ですが、同社が状況を評価する時間がほとんどなかったことは明らかです。Spectre/Meltdown脆弱性に関する当初の声明後、AMDは複数の訴訟を起こされており、原告はそれが誤解を招くものだと主張しています。そのため、AMDが(そして賢明にも)慎重な対応をとっているのは明らかです。
脆弱性に関する詳細情報を得るために調査を進めていますが、情報が不足しているため、慎重になるのが最善です。Spectre/Meltdown脆弱性が明らかになった当初の数日間と同様に、潜在的なパフォーマンスへの影響に関して、かなりの誤情報が流布している可能性があります。現在、CTS-Labsが投稿した情報は検証されておらず、証拠も提示されていません。また、同社は「開示情報」に関して複数の強い免責事項を掲げています。ホワイトペーパー(PDF)から抜粋した免責事項の一部を以下に貼り付けました。
AMDと協議した結果、同社は情報が入り次第、更なる情報を提供すると回答しました。これらの脆弱性に関するより詳細な評価は、第三者のセキュリティ研究者による調査を通じて明らかになると期待しています。
CTS-Labs の免責事項の一部:
本レポートおよび本レポートに含まれるすべての記述はCTSの意見であり、事実の記述ではありません。当社の能力と信念に基づき、本レポートに含まれるすべての情報は正確かつ信頼できるものであり、正確かつ信頼できると当社が信じる公開情報源から入手したものです。当社の意見は誠意を持って表明されており、公開されている事実および収集・分析された証拠に基づいており、これらの証拠は当社の意見を裏付けるために調査レポートに記載されています。当社は、誰でも関心があれば行うことができる方法で、公開情報に基づく調査と分析を実施しました。本レポートで引用されている、または本レポートの作成に依拠した証拠は、すべて公開されています。当社は、当社の分析に誠意を持っており、客観的かつ偏りのないものと確信していますが、当社のレポートの対象となっている製品を販売する企業の証券のパフォーマンスに、直接的または間接的に経済的利益を有する可能性があることをご承知おきください。本ウェブサイトに記載されているその他の組織は、その内容の正確性を確認または妥当性を判断していません。
ポール・アルコーンはTom's Hardware USの編集長です。CPU、ストレージ、エンタープライズハードウェアに関するニュースやレビューも執筆しています。
