AMDのプロセッサに“重大な脆弱性”を発見したというセキュリティ企業の発表を巡り、この発表が誇大宣伝だったのではないかと指摘する声が相次いでいる。AMDはこの問題について調査中。米US-CERTなど公的機関のセキュリティ情報は、現時点で出されていない。
イスラエルのセキュリティ企業CTS-Labsは3月13日、AMDのプロセッサ「Ryzen」と「EPYC」に13件の重大な脆弱性が見つかったと発表した。1月に発覚したIntelなどのプロセッサの脆弱性について大々的に報じられた直後だったこともあり、この問題は大きな注目を集めた。
CTS-Labsが開設した専用サイトでは、今回の脆弱性について「Severe」「Critical」と形容している。セキュリティ業界では一般的に、ユーザーが何も操作しなくても任意の攻撃コードを実行されてしまうような脆弱性に、こうした用語を使用する。
ただ、専用サイトからリンクされているCTS-Labsのホワイトペーパーの中には、今回見つかったとする4種類の脆弱性のうち3種類については、悪用のための前提として「攻撃者が管理者特権でプログラムを実行できる必要がある」などの記載がある。
同社がAMDに連絡してから、24時間足らずで脆弱性情報を公表したことに対しても批判が集まった。AMDは報道各社に寄せたコメントで、「AMDはそれまでこの会社のことを知らなかった。セキュリティ企業が、相手の企業に調査と対応のための十分な時間を与えることなく、自分たちの調査内容をマスコミに発表するのは異例」と述べている。
これに対してCTS-Labsは、「脆弱性についての技術的詳細は公表を差し控えた」と反論。サイトに掲載した最高技術責任者(CTO)の談話の中で、メーカーに対応の時間を与えるため、脆弱性の発見から情報の公開までには30〜90日の猶予を与えるのが一般的とする「責任ある開示」の慣習に問題があると主張した。
Linux創始者のリーナス・トーバルズ氏も今回の問題について、CTS-Labsの発表直後にGoogle+で行った投稿で、「セキュリティ業界は最低の記録を更新した。業界全体が腐敗していると以前から思っていたが、ますますおかしくなっている。セキュリティ関係者はいつになったら、なりふり構わず注目を集めようとする問題を抱えていることを認めるのか」と酷評した。
PC Gamerなどの報道によると、CTS-Labsや関連する組織がAMD株の取引に絡んでいた疑いもあり、AMD株の価格操作を狙ったのではないかという説も浮上している。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia 総合記事一覧で全文を見る
0 件のコメント:
コメントを投稿