更新、2018年3月18日午後1時30分(太平洋時間):この記事のオリジナル版では、CTS Labsの初日開示慣行について議論した際に、Luk-Zilberman氏の発言が矛盾しているように引用されていました。しかし、AnandTechは氏の発言を誤って引用しており、現在は修正されています。実際には、氏は「すべてのケースにおいてこれがより良い方法だとは言いません」と述べています。以下のコピーからこの引用を削除しました。
CTS Labsは依然として私たちの電子メールによる質問に直接回答していませんが、AnandTechを通じて、「明らかに事前に他社に情報を提供していた」という私たちの指摘、特にViceroy Researchが情報を早期に入手していたという私たちの主張に異議を唱えました。CTS Labsは、CTS LabsがViceroy Labsに情報を提供していないと述べているMotherboardの記事を紹介しました。また、ViceroyのFraser Perring氏がCTS Labsとの金銭的な関係がないことを認めたと報じています。興味深いことに、Perring氏(Motherboardの記事より)は、情報は匿名の情報提供者から得たものだと主張しています。しかし、ViceroyによるAMD株への攻撃の詳細とタイミングを考えると、これは組織的な攻撃のように見えます。少なくとも、ViceroyはCTS Labsが調査結果をいつ発表するかを知っていたようです。
以下のコピーを若干更新し、CTS Labs が必ずしも情報を渡したわけではなく、他の組織が CTS Labs の情報を受け取ったことを明記しました。
オリジナル記事、2018年3月16日午前11時45分(太平洋標準時):
CTS LabsによるAMD RyzenおよびEPYCプロセッサの13件の(潜在的な)脆弱性暴露をめぐる騒動は続いています。Tom's Hardwareは、暴露直後に同社に電話でインタビューを行いました。その後、姉妹サイトAnandTechがCTS Labsとのより詳細な電話インタビューを実施しました。AnandTechのIan Cutressは、CTS LabsのIdo Li On(CEO)とYaron Luk-Zilberman(CFO)との電話インタビューに、外部専門家のDavid Kantor(Real World Tech)を招きました。
通話記録からおわかりのように、このインタビューでは、CTS Labs 自体、つまりその方法、動機、重大な脆弱性の開示を処理する能力、そして明らかにされた脆弱性について、答えよりも多くの疑問が生じたようです。
CTS Labsの調査結果に関する前回のレポートで説明したように、ほとんどの研究者は企業に対し、脆弱性を公表する前に90日間の猶予期間を与えています。この猶予期間は延長される場合もありますが(Googleは一連の遅延の後、MeltdownとSpectreの公表に200日間も待たされました)、90日間が標準となっています。しかし、CTS LabsはAMDに対し、調査結果を公表する前に約24時間の調査期間を与えました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
矛盾や奇妙な点もいくつかありました。例えば、Luk-Zilberman氏は、CTS LabsはAnandTechのような企業と脆弱性やエクスプロイトの詳細を共有したいが、「イスラエルの輸出法」のためにできないと述べましたが、Cutress氏の法務担当者はそれを「ナンセンス」と切り捨てました。Cutress氏はCTS Labsに対し、これらの法律(おそらく根拠は薄いでしょうが)が脆弱性の公開を妨げていると考えているかと尋ねましたが、Luk-Zilberman氏は「興味深い質問ですね。私はそれについて考えたこともありません」と不可解な返答をしました。
CEOのオン氏は、質問に対し、発表前にメディアに事前説明を行ったかどうかは覚えていないと述べたが、これは全く滑稽な発言だ。さらに、CTS Labsは発表前にTrail of Bitsに全ての調査結果を確認のために提供していたが、明らかに他社も事前に情報を受け取っていた。その中には、AMDの株価を支離滅裂かつ狂った形で批判する記事を掲載した、謎に包まれたViceroy Researchも含まれる。
おそらく最も憂慮すべきことは、AMD に対する申し立ての重大さを考えると、CTS Labs がインタビュー全体を通じていくつかの重要な技術情報についてつまずいたり、誤解したり、あるいは完全に間違ったことを述べたりしたように思われることです。
上記のいずれの事実も、CTS LabsがAMD製品における13件の重大な脆弱性の開示に適切に対応できる能力があるかどうかについて、信頼を寄せるには至りません。これらの問題が同社の経験不足に起因するのか、それとも悪意から生じたのかは議論の余地がありますが、いずれにせよ(あるいはその両方において)、非常に憂慮すべき事態です。
注目すべきは、CTS Labsとの電話インタビュー以降、脆弱性に関する詳細情報を求めるTom's Hardwareからの複数回のメールに同社が返信しておらず、AnandTechがインタビュー後にメールで送った質問にも回答していないことです。ただし、同社はAMDFlaws.comのウェブサイトを更新し、脆弱性に関する新たな「説明」を掲載しました。この説明はサイトの開設時には存在せず、脆弱性を説明するYouTube動画に取って代わられました。
また、AMDはこれらの脆弱性について公式声明をまだ発表していない点にも留意すべきです。ただ、CTS Labsの報告書を「積極的に調査・分析中」であり、「セキュリティ企業が調査と対応のための十分な時間を与えずに、自社の調査結果を報道機関に公開するのは異例」であると述べています。この状況全体、そしてその中心にいる人物たちは、実に異例です。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
