Spectre／Meltdownを受け：米Microsoft、「投機的実行」攻撃の研究を奨励　賞金2600万円

Microsoftは、CPUの投機的実行機能に対する攻撃手法を「脅威環境の変化」と位置付け、こうした脆弱性や緩和策に関する研究を促す目的で、研究者に賞金を贈呈する。

米Microsoftが「投機的実行」を突く攻撃の研究を促すバウンティプログラムを開始した

　米IntelなどのCPUに「Spectre」「Meltdown」と呼ばれる脆弱性が発覚したことを受け、米Microsoftが賞金付きで、同様の脆弱性の発見を促すバウンティプログラムを実施している。

　2018年1月に発覚したCPUの脆弱性は、IntelやAMDなどの主要プロセッサに搭載されている「投機的実行（Speculative Execution）」という機能に存在する。この問題を突く「サイドチャネル攻撃」と呼ばれる手法が、Googleなどの研究者によって報告された。

　Microsoftは、こうした脆弱性とそれを突く攻撃を「この分野の研究における重大な進展」と位置付け、「脅威環境が変化した」と指摘。「投機的実行は、真に新しい種類の脆弱性であり、新たな攻撃手段を模索する研究が既に進んでいることが想定される」と述べ、そうした研究を促し、協調的な脆弱性情報の開示を促す目的で、バウンティプログラムを立ち上げると説明した。

　バウンティプログラムは4分野に分類され、投機的実行に関する新しい種類の攻撃手法の発見と、WindowsとAzureに実装された緩和策を迂回する方法の発見、およびWindows 10とMicrosoft Edgeにおいて、Spectreと呼ばれる既知の脆弱性（CVE-2017-5753、CVE-2017-5715）の悪用が可能なインスタンスの発見を促す。

　賞金はそれぞれの分野について、最高で25万ドル（約2600万円）を贈呈する。期間は2018年12月まで。「投機的実行サイドチャネルの脆弱性は、業界としての対応を必要とする」との認識から、寄せられた情報は影響を受ける関係者と共有し、協調して解決に当たるとしている。

詳しく見る