【CPU】 RYZEN / EPYCで13種もの脆弱性が見つかる? [Update 3: CTS-Labsに不審点。株価下落狙いは確定]

CPU


(Source:CNET)

イスラエルのセキュリティ企業CTS-Labsの研究者によるとAMDのRYZENおよびEPYCにて、計13種類の脆弱性が見つかったという。脆弱性は以下の4つのカテゴリに分類される。

プロセッサのセキュリティ機能を無効にする『Master Key』、RYZENプロセッサで保護されたデータへのアクセスを可能にする『Ryzenfall』、EPYCプロセッサで保護されたデータへのアクセスを可能にする『Fallout』、Wi-Fiやネットワークからチップセットを経由してキーロガーなどのインストールを可能にする『Chimera』。

CTS-Labsがこれらの問題を解決するのにどれくらいの時間が掛かるかAMDに尋ねたところ、返答はまだないという。研究者らは修正には数ヶ月はかかると見ている。

上記内容がCNETにて報じられました。また、より詳細な情報はCTS-Labsがamdflaws.comPDFにて公開しています。

『Master Key』、『Ryzenfall』、『Fallout』の修正は可能としているものの、『Chimera』は完全には解決ができず、応急処置的な対策になると言われています。また、『Chimera』への対策は困難であり、良くない副作用が懸念されています。

< Update 1: CTS-Labsに不審点 >
Guru3DGemarsNexus、CNETのコメント欄、Redditなど、各所でCTS-Labsについて不審な情報が出てきているため箇条書きにてまとめます。

  • CTS-LabsはAMDに通知して24時間以内に返答を求めて公開した (一般的には公開まで90~180日間の猶予が設けられる)
  • AMDに通知したのは前日なのに対して、『amdflaws.com』は2018年2月22日に作成されており、ページの公開は前もって準備されていた
  • 『cts-labs.com』のドメインは2017年6月に作成された
  • これらのドメインは直接登録されておらず匿名(Domains By Proxy(domainsbyproxy.com)経由)で登録された
  • CTS-LabsのYoutubeチャンネルは2018年3月に作られた
  • 2018年3月14日時点で取り扱う動画はAMDの脆弱性について2本のみ
  • それらの動画はあまりにも出来が良すぎて逆に不自然 (動画1 / 2)
  • 動画の背景は社内ではなくなぜか合成を使用 (背景1 / 2 / 3 / Reddit)

  • CTS-LabsのWebサイトはSSLが有効でない (httpsにすると繋がらない。セキュリティ企業なのにhttpsに非対応)
  • ホワイトペーパーに具体的な技術情報がない
  • 2018年3月7日頃、海外でAMD買収の噂が流れる。その数日後、株価に影響を及ぼしそうな今回の発表
  • CTS-LabsのCFO『Yaron Luk-Zilberman』と、ニューヨークのヘッジファンド会社NineWells Capital Managementの社長が同一人物

    • < Update 2: 株価下落へ誘導か >

  • Viceroy Researchという謎のメディアが 「この問題のせいでAMDの株価は0ドルになり、AMDは破産するしかない」 というぶっ飛んだ記事を書く。これだけなら変なメディアがおかしなことを言っているだけなものの、Viceroy Researchは、CTS-Labsが『amdflaws.com』を公開してからわずか3時間以内25ページもの詳細なPDFを公開した。文章量と詳細な内容であること考えれば『amdflaws.com』を見てからの作成・公開は不可能であり、事前に作成していたと思われる。事前にこの問題を知って作成できるということは、Viceroy ResearchとCTS-Labsに関係があることはほぼ間違いなく、共謀して意図的にAMDの株価が低くなるよう誘導していることが疑われている

    • < Update 3: 株価下落狙いは確定 >

  • Viceroy Researchは2018年3月6日にもドイツで同じことをやっていた。Viceroy Researchはドイツ企業のProSiebenの株価が75%下回るという記事PDFを公開。不幸にもこの攻撃は成功してしまい、ドイツメディアのDER AKTIONÄRによるとProSiebenの株価は8%下落した。その後、ドイツ連邦金融監督庁(BaFin)は投資家に対して 「Viceroy Researchの報告はドイツ証券取引法に基づく報告ではない」 と警戒を呼びかけるに至った

などなど。CTS-Labsには不審な点が多く、AMDの株価を操作するためという推測や、フェイクニュースの可能性も囁かれており、どこまで信憑性があるものか疑問を呈しています。

てか、Update 2 ~ 3の内容を考えれば、CTS-Labsの報告が本当であれ嘘であれ、CTS-LabsとViceroy Researchは組織的に株価下落を狙った糞野郎共であることはもう確定と断じてしまって良いでしょう。

株価下落が第一目的であるなら、『24時間以内の返答要求』や、公開することを前提に進めていた準備、手の込んだYoutube動画など、全て色々としっくりきます。

この件についてAMDも公式発表を行いました。

    弊社にCTS-Labsという会社から特定のプロセッサに脆弱性があるとの報告がありました。弊社は研究内容を積極的に調査し、分析しています。弊社はこれまでCTS-Labsという会社を知りませんでした。問題に対処するための適切な時間が与えられず、研究内容が公表されることは一般的ではありません。弊社はセキュリティを最優先事項としており、ユーザの安全を確保するために継続的に取り組んでいます。進展があり次第このブログを更新します。

    (Source:AMD)

続報が待たれます。

2018/3/21追記
AMDが調査結果を発表しました。詳細は下記の記事をご覧くださいませ。

CPU

Posted by にっち