「AMDのCPUに深刻な脆弱性がある」とのCTS Labs発表による一大騒動まとめ


イスラエルのセキュリティ企業CTS Labsが、AMDのCPU「Ryzen」とサーバー向けCPU「EPYC」に13もの脆弱性があることを発表しました。しかし、AMDに対策の猶予を与えることなく脆弱性情報を公開した手法については批判もあり、そもそも現実的な脅威があるのか疑問という意見や、「株価下落を望んでいるだけでは?」という冷ややかな声も上がっています。

AMDFLAWS
https://amdflaws.com/

新興のセキュリティ企業CTS Labsが、AMDのCPUに内在する脆弱性に関する情報を公開しました。CTS Labsによると、脆弱性は大きく4種類に分類され、それぞれ「RYZENFALL」「FALLOUT」「CHIMERA」「MASTERKEY」と名付けられています。

RYZENFALLは、保護されたメモリ領域にアクセスしてAMD Secure Processorの特権を取得するもの。Windows Credential Guardをバイパスして、ネットワークの資格情報を盗み出したり、Secure Processorにマルウェアを仕込んだりできる可能性があるとのこと。


FALLOUTは、RYZENFALLと同様の脆弱性でサーバー向けCPU「EPYC」を対象とするもの。


CHIMERAは、チップセットのファームウェアやASICに内在する隠されたバックドアに関するもの。チップセットにマルウェアを仕込み、Direct Memory Access(DMA)を使ってOSを攻撃できるとのこと。具体的にはASMediaチップが対象に挙げられています。


MASTERKEYは、Secure Processorファームウェアの脆弱性で、Secure Processorへの侵入が可能。Secure Encrypted Virtualization(SEV)やFirmware Trust Platform Module(fTPM)を改ざんでき、Windows Credential Guardをバイパスしてネットワークの資格情報を盗み出しやすくします。


以上の4つの分類の対象システム一覧は以下のとおり。


注意すべき点として、上記の脆弱性を悪用するには大前提として、「ローカルマシンの管理者権限を得る」という条件がついています。しかし、「そもそも管理者権限を奪われれば攻撃者のやりたい放題であり、脆弱性を突く必要はないのでは?」と指摘され、「AMDプロセッサーに限らない問題ではないか?」と、脅威というには現実性がないという意見が挙がっていました。

Linux生みの親のリーナス・トーバルズ氏は、自身のGoogle+で、以下の通り、CTS Labsの発表を批判しました。

When was the last time you saw a security advisory that was basically 'if you replace the BIOS or the CPU microcode with an evil version, you might have a security problem?' Yeah

(「もしBIOSやCPUのマイクロコードが邪悪なバージョンに置き換えられたなら、セキュリティ問題が起こるかも知れない」というようなセキュリティ勧告など、見たことあるだろうか?(CTS Labsの発表は)そういうことだ)

CTS Labsは、上記4つの分類に基づく合計13個の脆弱性を公表するための専用ページ「AMDFLAWS」を2018年3月14日に公開しました。なお、専用ページにはホワイトペーパーも添付されていますが、技術的な詳細は書かれていません。CTS Labsによる脆弱性情報の公開は、AMDへの情報提供から24時間以内に行われましたが、大きな被害を生じ得る脆弱性情報の公開は、セキュリティパッチなどによる対策を講じるための猶予を与えるのが通例です。例えば、「Spectre」や「Meltdown」を発見したGoogleのProject Zeroは発見から公開まで90日の猶予を定めています。時間的猶予がほとんど与えられなかったAMDは、CTS Labsの公開から約3時間後に、以下の通り調査・分析を行っている旨の告知を出すのがせいぜいでした。

We have just received a report from a company called CTS Labs claiming there are potential security vulnerabilities related to certain of our processors. We are actively investigating and analyzing its findings. This company was previously unknown to AMD and we find it unusual for a security firm to publish its research to the press without providing a reasonable amount of time for the company to investigate and address its findings. At AMD, security is a top priority and we are continually working to ensure the safety of our users as potential new risks arise. We will update this blog as news develops.

(私たちは、CTS Labsという企業から弊社プロセッサーに関する潜在的な脆弱性があるとするレポートを受け取ったばかりです。現在、その発見について調査・分析しているところです。私たちはこの企業についてこれまで知らなかったのですが、問題について調査・分析するための適切な時間的猶予を与えることなく公表したことは、一般的なやり方ではないと考えます。AMDにとって、セキュリティは最優先事項です。私たちは一貫して潜在的な危険が生じる度に、ユーザーの安全を確保するよう努めてきました。新たな進展があり次第、このブログをアップデートします)

この一般的な手順に則らない脆弱性情報の公開を行ったCTS Labsに対しては、セキュリティ専門家から疑問の声が噴出しました。AMDに通知してすぐに脆弱性の情報を公開するという被害を拡大しかねない方法で発表した理由をAnandTechに問いただされたCTS Labsは、「AMDが問題を修正するパッチをリリースするには何カ月もかかると予測でき、90日ルールを守るメリットが乏しい。むしろ、脆弱性の情報をすぐに開示することで、顧客にその製品のリスクを認識させ、購入して使うかどうか判断できるようにする方が責任ある対応だと判断した」と回答しています。

Our Interesting Call with CTS-Labs
https://www.anandtech.com/show/12536/our-interesting-call-with-cts-labs

CTS Labsという企業は、セキュリティ専門家の間ではまったくの無名で、突如として手の込んだ専用サイトやムービーを製作して公開したことを不審に思う人は多く、「CTS Labsとは何者か?」という議論がRedditなどで盛んに行われました。中には「背後にIntelがいる!」という陰謀論を唱える人もいましたが、「株価下落を狙ったのではないか?」という意見が数多く寄せられるようになっています。

まず、疑問が投げかけられたのはCTS Labsの公開した以下のムービーです。

AMD Flaws Interview - YouTube


AMDプロセッサーの脆弱性の脅威について説明する上記ムービーは、背景が有名サイトのインテリア写真を合成したものだと、Redditの有志によってすぐに発見されました。

How "CTS Labs" created their offices out of thin air : Amd
https://www.reddit.com/r/Amd/comments/846gpm/how_cts_labs_created_their_offices_out_of_thin_air/

なぜ、ムービーで背景を合成したのか、その理由は記事作成時点では不明です。


また、CTS Labsサイトのドメインが登録されたのが2017年6月25日で、AMDFLAWS.comの登録は2018年2月22日であること、YouTubeチャンネルはわずか数日前に作られたことがわかっています。

さらに、有志によってViceroy Researchという調査会社が出した「AMD-The Obituary(AMD、死亡)」というタイトルのレポートが発見されました。

AMD-The Obituary
(PDFファイル)https://viceroyresearch.files.wordpress.com/2018/03/amd-the-obituary-13-mar-2018.pdf

このレポートは、AMDFLAWS.comを引き合いに出して「今回の脆弱性が引き金となって、AMDの経営が危機的状況に陥りそうだ」という内容ですが、なんとPDFメタ情報からAMDFLAWS.comの公開からわずか2時間50分後にレポートが出されたことが判明します。


そして、「Viceroy Researchは基本的には『空売り屋』だ」という情報が寄せられます。


Viceroy Researchは、企業の不祥事に乗じて株を空売りすることで利益を上げるという手法を得意とするとのこと。2018年1月にもCapitec Bankを「Loan shark(高利貸し)」と批判するレポートを出して、Capitec Bankの株価が20%急落するという出来事が起こっていたことが判明します。AMDの脆弱性に関する情報が公開されたのを受けて、25ページにわたる報告書を2時間50分後に書き上げることが果たして可能なのかという疑問が出され、Viceroy ResearchとCTS Labsがつながっているのではという疑いの声も上がっています。

CTS Labsの発表がAMD株の下落を狙ったものだという指摘が正しいかどうかは記事作成時点では不明です。しかし、今回のCTS Labsの発表後もAMDの株価が急落する、という展開にはなっておらず、株式市場は冷静な模様。むしろ、メディアをにぎわす騒動に冷ややかな目を向けているのかもしれません。

・関連記事
Intelが脆弱性「Spectre」「Meltdown」をハードウェアレベルで対策したCPUを2018年後半にリリースすると発表 - GIGAZINE

Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが安全性と高速性を両立できない問題を抱える」との指摘 - GIGAZINE

CPU脆弱性対策パッチでAMDマシンが起動しなくなる不具合を受けてMicrosoftが更新プログラムの配布を停止 - GIGAZINE

AMD完全復活を物語る2017年決算発表、劇的に収益が回復し赤字から黒字へ - GIGAZINE

直近10年で初めてAMDがCPU販売シェアでIntelを抜く - GIGAZINE

in ハードウェア,   動画,   セキュリティ, Posted by logv_to