AMD、報告直後に公表されたRyzenなどの脆弱性にまもなく修正をリリース。
2018/03/22 https://japanese.engadget.com/2018/03/21/amd-ryzen/
CTSは"脆弱性発見から少なくとも30~90日はメーカーに対応のための猶予を与える"とされる慣習を破り、AMDへの報告から24時間以内というあまりに短時間で問題を公表したことで「脆弱性を悪用するものが現れかねない」と業界関係者から批判を受けていました。たとえば、SpectreおよびMeltdownの脆弱性の場合、その影響範囲と対応の難しさを考慮し、Googleはインテルに200日の猶予を設けています。
CTSは「AMDがパッチを用意するには何か月、もしくは何年もの期間がかかるから90日の猶予は意味をなさない。むしろすぐに公開すればメーカーに対して圧力をかけるとともに、ユーザーがリスクある製品を購入するリスクを判断できるようになる」と独自の理論を展開。これまでの慣習こそに問題があると主張しました。
また、報告された問題の脆弱性についても、それを悪用するにはローカルマシンで物理的に管理者権限を取得しなければならず、実際のところはさらにWindows Credential Guard、TPM、仮想化といったセキュリティ機能を無効化しなければならない点に「それは脆弱性になるのか」というツッコミが各方面から聞かれました。
Linuxの開発者として知られるリーナス・トーバルズ氏もその一人で、Google+への投稿で「もしもBIOSやCPUマイクロコードが悪意あるものに置き換えられたらセキュリティ的問題が発生するかもしれないなんてセキュリティ勧告を見たことがあるかい?」と批判的な投稿をしています。
掲示板サイトRedditでは、これまでまったく業界で知られていなかったCTSという企業が、どうして突然このような無茶な行動をとっているのかについて疑問に思ったユーザーが独自に周辺の調査を始め、どうやらCTSの目的は自身のセキュリティ企業としての名前をひろめること以外にAMDの株価操作にも関わっていた可能性が指摘されています。
いずれにせよ、AMDがパッチを用意すると発表したことで、実際にCPUに脆弱性があることはCTSの言うとおりだったことが確認されました。そして悪用される可能性は殆どないものの、もうすぐ穴は埋められます。
ただ今後懸念されることといえば、CTSのような"ポッと出"の情報セキュリティ企業が、CTSのやり方を真似て売名に走らないかということ。メーカーが対応する間もなく、公表された脆弱性をハッカーに悪用されてしまうようでは、何のための情報セキュリティ企業なのかわかりません。