AMDチップに見つかった一連の脆弱性は大きな波風を立てているが、それは事態が重大だからではない。自らの発見を公表した研究者らの、性急で一般うけを狙ったやり方のせいだ。プロの撮影したビデオと広報担当者のいるバグなど見たことがあるだろうか —— しかしAMDが警告を受けたのはわずか24時間前だ。欠陥は本物だとしてもこうしたやり方は不穏当だ。
問題の不具合を見つけたのはイスラエルのサイバーセキュリティー調査会社のCTS Labsで、欠陥にはRyzenfall、Masterkey、Fallout、Chimeraという派手な名前をつけ、専用のロゴとウェブサイトも作り、詳しい内容を記載した白書まで用意した。
ここまではまだよい。Heartbleedや、MeltdownとSpectreといった大きなバグにも名前とロゴはあった。
違うのは、過去のケースでは当事者たち、すなわちIntelやOpenSSLチームやAMDは、欠陥について十分前もって密かに警告を受けていたことだ。これが「責任ある開示」のコンセプトであり、公開前に開発者が問題の第一次対応を行う機会を与えるものだ。
大企業が自社にとって不都合な情報の開示について、どこまで統制力をもつべきかについては正当な議論があるが、一般に、ユーザー保護の観点から慣例は守られる傾向にある。しかし今回のケースでCTS Labsは、AMDの欠陥について事前にほとんど警告することなく、完全な形で公表した。
チームが発見した欠陥は本物だが、一連のアクションを実行するためには管理者権限が必要だ。つまり欠陥を利用するためにはターゲットシステムを深いレベルでアクセスする必要がある。調査報告書によると、バックドアは台湾企業のASmediaのチップに故意に仕掛けられたとしている。ASmediaは多くのメーカーと提携して部品を製造している。
この欠陥を利用するためには高度のアクセスが必要なことから、メモリー操作とアーキテクチャーレベルの欠陥を悪用したMeltdownとSpectreなどとくらべて問題ははるかに限定的だ。たしかに深刻ではあるが、その公表方法ゆえウェブには疑惑がうずまいた。
あの極端に専門性を排したビデオはなぜ背景素材にはめ込み合成されているのか? なぜAMDが軍で利用されていることを強調して恐怖を喚起する戦術をとってるのか? なぜ一連のバグには重大問題の識別に使われる標準追跡方法であるCVE番号が振られていないのか?なぜ、AMDには対応する時間がほとんど与えられなかったのか? なぜ、FAQにも書かれているように、数カ月のうちに修正できるのなら、少なくとも修正方法が用意できるまで公表を遅らせなかったか? そして、CTSはAMDの「業績に関わる直接または間接的な経済的利益を有する可能性がある」という情報開示はいったいなんなのか? これはこのような状況下で一般的に行われる情報開示内容ではない。
(私は欠陥の広報担当者[!]に連絡をとりいくつか質問をした)
AMDに対する何らかの悪意や恨みが背景にあるのではないかという疑念は拭いきれない。それが欠陥の深刻さを減じるものではないが、実に後味が悪い。
AMDは声明を発表し、「当社はついさきほど報告書を受け取り、発見された問題の手法と影響を解明すべく調査を続けている」と語った。これ以上1日に何かするのは困難だろう。
この種の大きなバグについはいつも言えることだが、真の影響範囲、実際にどれほど深刻なのか、ユーザーや企業は影響を受けるのか、予防するために何ができるのかといった情報は、専門家たちが詳しく調べデータを検証して初めて明らかになる。
[原文へ]
(翻訳:Nob Takahashi / facebook )