 (Source:CNET) イスラエルのセキュリティ企業CTS-Labsの研究者によるとAMDのRYZENおよびEPYCにて、計13種類の脆弱性が見つかったという。脆弱性は以下の4つのカテゴリに分類される。 プロセッサのセキュリティ機能を無効にする『Master Key』、RYZENプロセッサで保護されたデータへのアクセスを可能にする『Ryzenfall』、EPYCプロセッサで保護されたデータへのアクセスを可能にする『Fallout』、Wi-Fiやネットワークからチップセットを経由してキーロガーなどのインストールを可能にする『Chimera』。 CTS-Labsがこれらの問題を解決するのにどれくらいの時間が掛かるかAMDに尋ねたところ、返答はまだないという。研究者らは修正には数ヶ月はかかると見ている。 |
上記内容がCNETにて報じられました。また、より詳細な情報はCTS-LabsがこちらのページやPDFにて公開しています。
『Master Key』、『Ryzenfall』、『Fallout』の修正は可能としているものの、『Chimera』は完全には解決ができず、応急処置的な対策になると言われています。また、『Chimera』への対策は困難であり、良くない副作用が懸念されています。
< Update 1: CTS-Labsに不審点 >
Guru3DやCNETのコメント欄、Redditなど、各所でCTS-Labsについて不審な情報が出てきているため箇条書きにてまとめます。
- CTS-LabsはAMDに通知して24時間以内に返答を求めて公開した (一般的には公開まで90~180日間の猶予が設けられる)
- AMDに通知したのは前日なのに対して、『amdflaws.com』は2018年2月22日に作成されており、ページの公開は前もって準備されていた
- 『cts-labs.com』のドメインは2017年6月に作成された
- これらのドメインは直接登録されておらず匿名(Domains By Proxy(domainsbyproxy.com)経由)で登録された
- CTS-LabsのYoutubeチャンネルは2018年3月に作られた
- 取り扱う動画はAMDの脆弱性について2本のみ
- それらの動画はあまりにも出来が良すぎて逆に不自然 (動画1 / 2)
- 動画の背景は社内ではなくなぜか合成を使用 (背景1 / 2 / 3 / Reddit)
- CTS-LabsのWebサイトはSSLが有効でない (httpsにすると繋がらない。セキュリティ企業なのにhttpsに非対応)
- ホワイトペーパーに具体的な技術情報がない
- 2018年3月7日頃、海外でAMD買収の噂が流れる。その数日後、株価に影響を及ぼしそうな今回の発表
- CTS-LabsのCFO『Yaron Luk-Zilberman』とニューヨークのヘッジファンド会社NineWells Capital Managementの社長が同一人物
この件についてAMDも公式発表を行いました。
|
CTS-Labsという会社から特定のプロセッサに脆弱性があるとの報告がありました。弊社は積極的に調査と分析を行っています。弊社はこれまでCTS-Labsという会社を知りませんでした。セキュリティ会社から合理的な時間を提供されず、研究内容が公表されることは非常に稀です。弊社はセキュリティを最優先事項としており、ユーザの安全を確保するために継続的に取り組んでいます。進展があり次第このブログを更新します。 (Source:AMD) |
