インテルおよびメルトダウン/スペクターの暴露陰謀団に参加した他の6社が米国議会に送った書簡により、危険なチップ設計の欠陥について広く世界に知らせなかった経緯と理由が明らかになった。
下院エネルギー・商業委員会の共和党議員らは1月に7人に書簡を送り、欠陥を公表しないことを選択した理由や、自らの行動が責任あるものであり安全だと考えているかどうかについて回答を求めた。
全ての手紙は過去のものと同じだ。Google Project Zeroが設計上の誤りを発見し、Intelに報告した。Intelは、Google、AMD、Arm、Apple、Amazon、Microsoftからなる陰謀団を結成した。7人組はProject Zeroの90日間の開示期限を1月まで延長することを決定し、その後、修正の準備を支援するために他の組織と協議した。しかし、1月3日に私たちがこのニュースを報じた時点で、無関係な投稿と鋭いRegハッカーによってその計画は頓挫した。
欠陥は非常に深刻であるため、議員は7人に自ら説明するよう要求し、現在、彼らが説明を試みた書簡がこのページにリンクとともに掲載されている。
SHLがリアルモードに:米国議員らがインテル、マイクロソフト、そして仲間たちにメルトダウンとスペクターの対応について説明を求める
続きを読む
インテルの書簡 (PDF) は、「漏洩前、インテルは、テクノロジー ユーザーのセキュリティ強化でインテルを支援できる企業にのみ、Spectre と Meltdown に関する情報を開示していました」と明らかにしており、最も有益です。
つまり、陰謀団は、米国政府、米国コンピュータ緊急対応チーム(CETE)、そしてCETEコーディネーションセンターのいずれも、自分たちが引き起こした混乱への対応策の準備には役立たないと考えていたのだ。脆弱性のニュースが報じられると、インテルは「緩和策の導入計画を急ぎ、政府やその他の関係者に速やかに問題を報告した」。
Intel は、「CERT の協調的脆弱性開示ガイド」、「共通脆弱性識別子 (CVE) 採番機関ルール」、「インシデント対応セキュリティ チーム フォーラムの共通脆弱性スコアリング システム」を考慮して、この対応策を考案したと説明しました。
この書簡には、「インテルは今年後半に、スペクターやメルトダウンなどの脆弱性に対処するため、当社製品に新たなハードウェア設計変更を導入する予定だ」とも記されている。
マイクロソフトのジレンマ
他の手紙では、SpectreとMeltdownはIntelの問題であると指摘する意見がほとんどで、陰謀団のメンバーは質問に答える一方で、Chipzillaの行動を尊重する姿勢を示しています。しかし、いくつか興味深い事実も残されています。
例えばマイクロソフトは、修正により一部のウイルス対策ソフトが機能しなくなることを認識しており、事前にそのような製品のベンダーに警告しようとしたが、メルトダウンやスペクターに関する情報が漏れるのを恐れて変更の理由を説明できなかったと明らかにした。
Armの回答は、まるで大手企業と肩を並べるよう求められて喜んでいるかのようだ。「SpectreとMeltdownが発生する以前、Armは複数当事者による協調的な脆弱性開示に関与したことはなかった」。Armの書簡には、同社の上級管理職と取締役会がこの問題を認識し、修正が「最優先事項」に指定されたと記されている。
アマゾンは「LinuxオペレーティングシステムとXenハイパーバイザーに対する対策の開発に注力している」と述べた。
手紙を送った議員たちからの返答の兆候はまだ見られません。状況が変われば、この記事も変わります。そうでなければ、また別の記事を書きます。®
