「Intelの脆弱性情報の開示が遅すぎた」ことでLinux開発者が大変な目に遭っていたことが発覚

2018年8月29日からアメリカで開催されている「Open Source Summit 2018」で、Linux開発者のグレッグ・クロー＝ハートマン氏がIntel製CPUに存在した「Spectre」と「Meltdown」の脆弱性情報について、「Intelの開示があまりにも遅かったために、多くのLinux開発者が大変な思いをした」ことを明らかにしました。

Linux Kernel Developer Criticizes Intel's Meltdown Disclosure
http://www.eweek.com/security/linux-kernel-developer-criticizes-intel-for-meltdown-spectre-response

クロー＝ハートマン氏は世界で有数のLinuxカーネル開発者として知られており、以前はNovellでSUSE Linuxの研究部門に所属していましたが、2012年からLinuxの普及活動を行う非営利団体「The Linux Foundation」に在籍しています。

Intel製CPUの脆弱性であるSpectreとMeltdownは、2017年7月にGoogleの開発チームによって発見されました。同チームはすぐにIntelに脆弱性があることを報告。通常であれば、脆弱性の報告を受けた会社は詳細を確認したあとに、影響を受けるOSの開発元に脆弱性情報を提供し、セキュリティパッチの作成を依頼します。しかし、当時のIntelは脆弱性の詳細を確認したあとも特に対応を行うことはなかったそうです。

そして、2017年10月にウワサで脆弱性の存在を知ったクロー＝ハートマン氏は、急いでIntelに脆弱性情報の開示を要求し、提供された脆弱性情報をRedHatやNovell、OracleなどのLinuxベンダーや開発コミュニティーに連携しました。この対応で多くのLinuxベンダーは年末年始もセキュリティパッチ作成の対応を強いられてしまい、多くの開発者がIntelに怒りを覚えたとのこと。

緊急のセキュリティパッチの作成でLinuxベンダーの長期休暇がつぶれてしまうことは仕方のないもの。しかし、今回の脆弱性は事前に存在が明らかになっていたにも関わらず、情報の開示が遅すぎたことが問題だったため、IntelはLinux開発者から大きな怒りを買うことになってしまいました。

この対応のあと、Intelと話をしたクロー＝ハートマン氏は「IntelにLinux開発者の怒りを伝えた後、脆弱性開示に関するプロセスの問題点を修正させました」と述べており、今回と同じような事態が再発することはないとしています。実際に、2018年8月にIntel製CPUから「Foreshadow」の脆弱性が発見されましたが、同氏は「Intelは事前に決まったプロセスに従って通知を出したため、各Linuxベンダーや開発コミュニティーが協力して対応することができた」と語り、是正プロセスが正しく機能していると説明しています。

クロー＝ハートマン氏は「SpectreとMeltdownの脆弱性によって、多くのLinux開発者が不幸を感じることになったものの、良い点もあった」と述べています。発見された脆弱性はLinuxだけでなく、Windowsにも影響を与えるものであったことから、この対応でWindowsとLinuxの開発者が相互にコミュニケーションを取るようになったとのこと。クロー＝ハートマン氏は「異なるOSの開発者間で連携が取れるということは、とても素晴らしいことだ」と語っています。

同氏は「技術的な面では課題が残っている」とも指摘しています。SpectreとMeltdownのセキュリティパッチは記事作成時点でサポート対象のLinuxカーネルに適用されているものの、サポート外のカーネルには適用されていません。このため、何らかの事情でOSアップデートができず、古いOSを使用し続けなければならない場合、「怪しいプログラムは実行しないことを肝に銘ずることしか対策を打つことはできない」とクロー＝ハートマン氏が述べています。

脆弱性は後からどんどん見つかるものであり、どうしても場当たり的な対応になりがちです。しかし、2018年時点では、この流れを止めるため、多くの研究が行われているのも事実。クロー＝ハートマン氏は「この流れを止めるために、自動的にバグやプログラム内の脆弱なコードパターンを発見したら削除または是正するセキュリティに特化したコンパイラが求められています。現在、SpectreとMeltdownに関する脆弱性をコード内から検出する方法が研究されており、コンパイラの実現が徐々に近づいています」と語っています。