AMDチップに見つかった一連の脆弱性は大きな波風を立てているが、それは事態が重大だからではない。自らの発見を公表した研究者らの、性急で一般うけを狙ったやり方のせいだ。
プロの撮影したビデオと広報担当者のいるバグなど見たことがあるだろうか ―― しかしAMDが警告を受けたのはわずか24時間前だ。欠陥は本物だとしてもこうしたやり方は不穏当だ。
問題の不具合を見つけたのはイスラエルのサイバーセキュリティー調査会社のCTS Labsで、欠陥にはRyzenfall、Masterkey、Fallout、Chimeraという派手な名前をつけ、
専用のロゴとウェブサイトも作り、詳しい内容を記載した白書まで用意した。
ここまではまだよい。Heartbleedや、MeltdownとSpectreといった大きなバグにも名前とロゴはあった。
違うのは、過去のケースでは当事者たち、すなわちIntelやOpenSSLチームやAMDは、欠陥について十分前もって密かに警告を受けていたことだ。
これが「責任ある開示」のコンセプトであり、公開前に開発者が問題の第一次対応を行う機会を与えるものだ。
大企業が自社にとって不都合な情報の開示について、どこまで統制力をもつべきかについては正当な議論があるが、一般に、ユーザー保護の観点から慣例は守られる傾向にある。
しかし今回のケースでCTS Labsは、AMDの欠陥について事前にほとんど警告することなく、完全な形で公表した。
チームが発見した欠陥は本物だが、一連のアクションを実行するためには管理者権限が必要だ。つまり欠陥を利用するためにはターゲットシステムを深いレベルでアクセスする必要がある。
調査報告書によると、バックドアは台湾企業のASmediaのチップに故意に仕掛けられたとしている。ASmediaは多くのメーカーと提携して部品を製造している。
この欠陥を利用するためには高度のアクセスが必要なことから、メモリー操作とアーキテクチャーレベルの欠陥を悪用したMeltdownとSpectreなどとくらべて問題ははるかに限定的だ。
たしかに深刻ではあるが、その公表方法ゆえウェブには疑惑がうずまいた。
http://jp.techcrunch.com/2018/03/14/2018-03-13-security-researchers-find-flaws-in-amd-chips-but-raise-eyebrows-with-rushed-disclosure/
続く