研究者は、派手なウェブサイトや巧妙なブランディング、そしてメディア(今回のような)で問題が取り上げられるようにするための徹底的な努力によって、新たな脆弱性を公表することがよくあります。AMDのRyzenおよびEPYCプロセッサで新たに発表された脆弱性もこのルールの例外ではありません。実際、今回の脆弱性の暴露は、他の多くの情報開示よりも、世間の注目を集めることに重点を置いていました。ただ一つ欠けていたのは、AMDが対応する時間でした。
90日間 vs. 1日間
AMDのRyzenおよびEPYCプロセッサに欠陥を発見したと主張するイスラエルの企業、CTS Labsに、なぜこのような極めて異例な、そして多くの人が不公平だと言うような方法で情報開示を行ったのかを尋ねた。
研究者が製品の脆弱性を発見した場合、通常は企業に90日間の対応期間を与え、その後に発見内容を公表します。しかし、一部の欠陥は非常に危険とみなされるため、企業にはさらに長い対応期間が与えられます。例えば、GoogleはIntelとAMDに対し、MeltdownとSpectreの脆弱性を世界に公表する前に約200日間の修正期間を与えました。また、他の脆弱性の開示は、被害者と研究者の間で調整されています。
しかし、CTS LabsはAMDに対してそのような配慮を一切示しませんでした。脆弱性が公表されるわずか24時間前にAMDにその旨を伝えたのです。AMDが日々膨大な数のバグ報告を受け取っていることを考えると、これは明らかにAMDが問題に対処するには不十分であり、CTS Labsのメッセージに気づくことさえ不可能です。
CTS Labsは、業界標準の90日間の対応期間を破った理由について、メーカーや他のセキュリティ専門家と脆弱性について話し合った結果、AMDが問題を修正するには「何ヶ月も、あるいは1年もかかるだろう」と判断したためだと説明しました。CTS Labsは、これらの脆弱性を明らかにするのに丸1年待つのではなく、発見した情報を公表することを決定しました。
CTS Labsが問題の真偽を検証することなく公表したというわけではない。同社は、この問題について他のセキュリティ専門家やメーカーに相談し、脆弱性を悪用するための概念実証やチュートリアルを提供し、彼らの回答を待ってから脆弱性を公表する準備をしたと述べている。例えば、Trail of BitsのCEOであるダン・グイド氏は、同社が調査結果を裏付けていることを確認している。
何のために、何の目的のために?
しかし、脆弱性の開示をめぐる状況、そして同社が新興企業であるという事実が、CTS Labsの意図に疑問を投げかけていることは留意すべき点です。AMDへの攻撃であり、株価を急落させることを狙った攻撃のように思えます。これはCTS Labsにとって不公平かもしれませんが、見た目と礼儀正しさは認識にとって重要であり、多くの人にとって認識は現実です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
同社のCFOであるヤロン・ルク=ジルバーマン氏とCEOであるイド・リー・オン氏は、ハードウェア製品のセキュリティを調査するために2017年1月にCTS Labsを設立したと語った。今回の脆弱性は、同社にとって初めての大きな発見となる。
情報開示プロセス自体にも疑問が投げかけられました。AMD、Trail of Bits、その他企業には脆弱性の悪用方法に関する概念実証と手順が提供されたと伝えられていましたが、その情報は一般公開されていませんでした。Luk-Zilberman氏とLi On氏は、その理由として、これらの脆弱性が「実用的」であり、「サイバー攻撃の様々なシナリオや段階にうまく適合する」ためだと述べています。言い換えれば、情報公開しすぎることで攻撃を誘発することを望まないということです。もちろん、これは信頼性のジレンマを生み出します。詳細が隠蔽されているため、メディア関係者のほとんど(ましてや好奇心旺盛な一般の人々)は、調査結果や主張を自ら検証・評価することができません。また、CTS Labsは実績のない新興企業であるため、単純に信用することはできません。
CTS Labsは、脆弱性に関する専用ウェブサイトを立ち上げ、解説ビデオを撮影し、AMDと協議する前に(少数の)メディア関係者に説明を行いました。実際、Luk-Zilberman氏とLi On氏は、彼らの情報開示が愛好家やジャーナリストから大きな注目を集めているにもかかわらず、AMDからはまだ連絡がないと述べています。(AMDにこの件が事実かどうか問い合わせました。回答があれば、更新します。)
CTS LabsのCTO、イリア・ルク=ジルバーマン氏は、AMDflawsサイトに書簡を掲載し、私たちに伝えた内容の大部分を述べています。これはやや奇妙な長文で、90日間の対応期間に対する彼の嫌悪感と、それがなぜ役に立たないのかという彼の見解を詳しく説明しています。彼は、消費者、メディア、企業など、すべての人に一度に警告を発することで、企業に脆弱性を修正するよう世論の圧力がかかると考えていると述べています(確かにその通りです)。また、実際の技術的詳細を開示せずに警告を発することで、実際には誰も危険にさらされないと述べています。しかし、これは広範なFUD(不安や恐怖感)を引き起こすなど、明らかな問題を引き起こし、セキュリティ研究者への反発を招くことになります。書簡の中で彼が言及していたのは、まさにこのことです。注目すべき箇所は以下です。
このモデルには大きな問題があります。技術的な詳細を説明せずに、真実を語っていると世間に納得させるにはどうすればよいのかということです。そして、私たちは過去24時間、その不信感という代償を払ってきました。そこで私たちが思いついた解決策は、trailofbitsのDan氏と行ったような第三者による検証です。今にして思えば、疑念を払拭するために、5人の第三者検証者と協力すればよかったと思います。これは次回の教訓です。
総じて言えば、AMDの顧客がこれらの脆弱性を懸念するのは当然と言えるでしょう。CTS Labsの説明が正しければ、これらの脆弱性はリモートから悪用可能なものであり、攻撃者はシステムの奥深くに永続的なマルウェアをインストールできる可能性があります。これは消費者を危険にさらすだけでなく、RyzenやEPYCプロセッサに依存しているというだけで、企業の安全なネットワークを脅かす可能性もあります。
しかし、ここで再び奇妙な事実が浮かび上がります。AMDがこれらの申し立てに対応する時間がほとんどなかったのです。CTS Labsが業界標準の90日間の猶予期間を無視した理由を額面通りに受け止めたとしても、あまり納得がいきません。CTS Labsは脆弱性に関する詳細情報を公表しないため(もし脆弱性が実際に容易に悪用されるのであれば、技術的には賢明な判断と言えるでしょう)、AMDが問題を調査するまで、脆弱性の存在を具体的に確認することはできません。CTS Labsが保有するすべての調査結果をAMDに提供したのであれば、それほど時間はかからないでしょう。今後数日のうちにこの問題についてより詳しい情報が明らかになることを期待しています。そして、今後数週間、数ヶ月、そして数年にわたって、その影響がどのようなものになるのかを目の当たりにすることになるかもしれません。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
