セキュリティ専門家のイートン・ズベア氏は、半導体大手インテルのオンラインインフラに深刻な欠陥があることを指摘した。コーディングの欠陥があるサービスにアクセスして、秘密保持契約(NDA)からインテルの従業員27万人以上の個人情報に至るまで、内部文書とされるものにアクセスしていたという。
メルトダウン、スペクター:インテルCPUの心臓部にあるパスワード盗難バグ
アーカイブから
「インテルについては説明の必要はありません。この歴史あるチップメーカーは現代のコンピューティングの主力であり、私がこれまで所有してきたほぼすべてのコンピューターにはインテルのチップが搭載されています」と、ズベア氏は月曜夜に公開した情報開示の中で述べています。「メルトダウンやスペクター、サイドチャネル攻撃など、インテルにもセキュリティ上の脆弱性は数多く存在します。ハードウェアのセキュリティ上の脆弱性は長年にわたり数多く存在してきましたが、インテルのウェブサイトはどうでしょうか? 脆弱性に関する話はほとんど聞かれません。おそらく、ハードウェアの脆弱性は最大10万ドルの価値があるのに対し、ウェブサイトのバグは基本的にブラックホールの受信箱に追いやられているからでしょう。」
ズヴェアレ氏の調査は昨年、インテル・インド・オペレーションズが運営するウェブサイトを軽く調べたことから始まりました。このウェブサイトでは、権限のある従業員が名刺を注文することができました。当然のことながら、このようなサイトは従業員データベースへのアクセスを必要としますが、不自然なことに、インテルは「権限」に関する対応が不十分だったようです。
Angularフレームワークのサイトを徹底的に分析した結果、Zveare氏は認証を回避できるリダイレクトを発見しました。そこから、不適切に認証されたAPIを発見しました。このAPIは、要求すれば1GB近くの従業員データを平気で提供していました。「たった1回のAPIリクエストで、27万人以上のIntel従業員の名前、役職、マネージャー名、電話番号、メールアドレスなど、膨大な詳細情報を盗み出したのです」とZveare氏は記しています。
IntelがWebサイトのセキュリティ対策を適切に実施していない可能性に気づいたZveare氏は、さらなる標的を探し始めた。「階層管理」サイトはクライアントサイド暗号化を使用しており、JavaScriptコード内のコメントには、誰でも鍵を復号できるWebサイトへのリンクまで含まれていた。Zveare氏は「全く意味がない」と指摘した。この情報とハードコードされた認証情報を使って、彼は製品情報を提供する社内サイトにアクセスした。「その中には未発表製品が含まれている可能性もある」とZveare氏は指摘した。
「製品オンボーディング」サイトも同様に攻撃に対する防御が不十分で、「Intel Confidential(インテル社外秘)」かつ「For Internal Use Only(社内使用のみ)」と記されたプラットフォームへのアクセスを、ハードコードされたシークレットで提供していました。このプラットフォームは、新たに発表された製品を同社のARKデータベースに追加するために設計されていました。さらに悪いことに、Zveare氏は、社内リポジトリで自動プロセスを開始するために使用できるGitHubの個人用アクセストークンを発見しました。「これを使ってIntel ARK上に不正な製品を作成できた可能性はありますが、私はこれをテストしないことに決めました」とZveare氏は記しています。
- ソフトバンクはインテルの将来に20億ドルを賭ける
- トランプ大統領、ホワイトハウスでの会談後、インテルCEOに対する態度を180度転換
- トランプ大統領の辞任要請を受け、インテルCEOリップブー・タン氏がホワイトハウスを訪問
- トランプ大統領、中国とのつながり疑惑でインテルCEOの解任要求
Zveareは、インテルのサプライヤーEHS IP管理システム(SEIMS)への認証なしのアクセスも取得しました。SEIMSからもインテル従業員の個人情報が入手できました。従業員IDは連番で、データベース全体の反復処理を容易にしていました。管理者レベルのアクセス権限を持つZveareは、製品および文書レポート、インテルの顧客データ、さらにはインテルが締結した秘密保持契約の情報まで閲覧することができました。
責任ある研究者として、ズベア氏は2024年秋に上記の全てについてインテルに警告したが、全くの沈黙に終わった。インテルは、研究者が自社製品の脆弱性に関する情報提供に対して現金報酬を受け取ることができるバグ報奨金プログラムを実施しているものの、このプログラムはウェブサイトには適用されていない。また、一般的な礼儀さえ欠いているようだ。「インテルのセキュリティチームにメールを送信すると、自動返信が届く」とズベア氏は書いている。「インテルから受け取った公式の連絡はこれが唯一だ。幸いなことに全てが修正されたので、メールの受信箱は事実上一方通行のブラックホールだったものの、少なくとも報告は最終的に適切な担当者に届いた」
Zveareが発見したセキュリティホールについてIntelにコメントを求めたところ、広報担当者は次のように回答した。「2024年10月、外部のセキュリティ研究者から複数のポータルに影響を及ぼす脆弱性が報告されました。通知を受け、直ちに是正措置を講じ、その時点で完全な修復を完了しました。Intelは、お客様と従業員のシステムと情報を保護するため、セキュリティ対策の継続的な評価と強化に引き続き尽力してまいります。」
同社は、最近拡大したバグ報奨金プログラムをこの種の脆弱性をカバーするために更新する予定があるかどうかについては回答しなかった。また、たとえ善意によるものであったとしても、侵害について従業員や関係当局に通知したかどうかについても同社は明らかにしなかった。
RegはZveare氏に、これはIntel側の見落としだったのではないかという意見を尋ねた。同氏は次のように答えた。「Webの脆弱性を除外するのは少し奇妙だと思います。今回の開示は、Webインフラが安全でない場合、深刻な影響が生じる可能性があることを示しています。報奨金がなかった理由については、予算や人員リソースなど、Intelにとって現実的ではない他の要因があると考えられます。朗報としては、IntelのIntigritiを見ると、サービス関連の報奨金制度の提供を開始していることが挙げられます。将来的には、*.intel.comを完全にカバーするようになるかもしれません。たとえ最初は少額の報奨金から始める必要があるとしても、Webの脆弱性は必ず対象に含めるべきだと思います。」
インテルは自社を守るために何をすべきだったのだろうか?Zveare氏は、「認証されていないAPIや過剰な情報を提供するAPIは、あらゆる業界で驚くほど一般的です。APIの脆弱性は発生し、セキュリティレビューが行われていれば、おそらく簡単に発見できたはずです」と述べている。
彼はさらにこう付け加えた。「ハードコードされたトークンや認証情報がこれほど広範囲に使用されているのは一般的ではありません。おそらく開発を容易にし、社内ユーザー以外の人がウェブサイトにアクセスすることはないだろうという希望的観測からそうしたのでしょう。しかし、社内開発者がクライアント側のコードにこのような詳細情報を組み込んでいるというのは、見栄えがよくありません。他のインテル製品にも同様の情報が存在するのではないかと疑ってしまいます。」
インテルや他の企業がこの件から何を学ぶべきかと問われると、彼はこう答えた。「社内ウェブサイトは、たとえリンクを貼っていなくても、見つかってしまう可能性があります。セキュリティ対策を怠れば、深刻な事態を招く可能性があります。セキュリティレビューは必ずこれらのシステムまで含めて実施してください!そして、クライアント側のコードではAES暗号化を使用しないでください。このようなケースはますます増えていますが、セキュリティ上は全く役に立ちません。」
最後に、ザ・レジスター紙は、ズヴェアレ氏が欠陥を発見したのは自分ではないという証拠を見たかどうかを尋ねた。「他に侵入の兆候はなく、私と同じ方法でデータにアクセスした人は他にいないと思う」
Zveare氏の報告書全文は、研究者のウェブサイトで公開されています。報告された脆弱性はすべて、公開前に修正済みであるとZveare氏は指摘しています。®
