研究者らは、AMDのRyzenおよびEpycチップアーキテクチャに深刻な潜在的な脆弱性を発見したと発表しました。これは現在、2つの独立系企業によって確認されています。AMDは、これらの報告を真剣に受け止めていると述べていますが、発表前に十分な調査や確認の時間が与えられていなかったとのことです。
ASICやその他のチップの脆弱性を専門とするセキュリティ調査会社CTS-Labsは、コードネーム「Masterkey」、「Ryzenfall」、「Fallout」、「Chimera」の4つの潜在的な攻撃を発見したと発表した。いずれも、ローカルアクセスと管理者権限で実行されるプログラムが必要となる。CTSは3月16日に、攻撃者がマシンに物理的にアクセスする必要はないこと、また、これらの脆弱性はPCユーザーではなく企業顧客に関連していることなど、より技術的な詳細を記した解説文書を公開した。
AMDは、潜在的な脆弱性を認識していたことを認めました。しかし、PCWorldに提出されたAMDの声明では、通常約90日間かかる社内調査期間が与えられていなかったことが示唆されています。同社は、脆弱性が公開される前日にそのことを知らされたと述べています。
AMDは声明で、「AMDではセキュリティを最優先事項としており、新たなリスクが発生するたびにユーザーの安全確保に継続的に取り組んでいます」と述べている。「私たちは、先ほど受け取ったこの報告書を調査し、調査方法と調査結果の真価を理解しようとしています。」
AMDは自社ウェブサイトのブログ投稿で、「この企業(CTS Labs)はAMDにとってこれまで未知の存在でした。セキュリティ企業が調査と対応のための十分な時間を与えることなく、報道機関に調査結果を公表することは異例です」と付け加えた。3月16日(金)時点で、AMDは回答を出していない。
2つの別々の企業がこれらの脆弱性を確認しました。Check Point Researchは月曜日、Ryzenfallの脆弱性のうち、Ryzenfall-1とRyzenfall-3と呼ばれる2つの脆弱性を確認したと発表しました。
セキュリティ研究者のダン・グイド氏も、概念実証コードを確認し、脆弱性を確認したとツイートしている。「リリースをめぐる誇大宣伝とは関係なく、バグは現実のものであり、(私の知る限りでは非公開の)技術レポートに正確に記述されており、エクスプロイトコードは動作する」と彼はツイートした。
これが意味するもの:現時点では何もありません。これらの攻撃はAMDによって未確認のままですが、潜在的に深刻なものであることに注意が必要です。CTS-Labsは、複数のRyzenチップで発見した脆弱性を悪用できたと主張していますが、実際に攻撃が行われた事例はまだ確認されていません。また、他のメディアはAMDの株価への影響を気にするかもしれませんが、PCWorldはそうではないことも重要です。脆弱性は存在するのでしょうか?その深刻度はどの程度でしょうか?AMDはどのような緩和策をいつ提供するのでしょうか?ユーザーは何か対策を講じる必要があるのでしょうか?AMDへの脆弱性開示がこれほど遅かったため、武器化される可能性が高まったのでしょうか?後者の質問については、私たちには分かりません。しかし、私たちはこの問題がそのような方向に進むと見ています。
CTS-Labs/AMDFlaws.comCTS-Labs による、AMD チップの潜在的な脆弱性のリスト。
Ryzenfall、Masterkey、Fallout、Chimera とは何ですか?
ハードウェアの脆弱性は、Intelをはじめとするベンダーが使用する投機的実行プロセスを攻撃するSpectreとMeltdownの台頭により、一段と注目を集めています。AMDとARMもSpectreとMeltdownの影響を受ける可能性がありますが、両脆弱性について公に公表しているのはIntelです。
AMD固有の4つの新たな脆弱性は、主にAMDセキュアプロセッサを攻撃するものです。セキュアプロセッサは、機密性の高いタスクを実行するための保護された環境を構築するロジックです。CTS-Labsはホワイトペーパーの中で、このプロセッサは未だ十分に理解されていない「ブラックボックス」であると批判しました。ホワイトペーパーはAMDを無責任だと非難し、RyzenおよびRyzen Proチップセットは「最も基本的なホワイトボックスセキュリティレビューさえ通過できなかっただろう」と主張しました。また、セキュリティコミュニティに対し、「人命を危険にさらす可能性のある」ミッションクリティカルなシステムへの影響を調査するよう強く求めました。
CTS-Labsによると、Masterkeyには3つの派生型があり、いずれもEpycとRyzenで動作が実証されています。Ryzenfallには4つの派生型、Falloutには3つの派生型、そしてChimera攻撃には2つの派生型があります。RyzenfallとFalloutはRyzen、Ryzen Pro、Epycでテスト済みですが、Ryzen Mobileチップは影響を受けません。ChimeraはRyzenとRyzen Proでテスト済みであるとCTS-Labsは主張しています。
CTS-Labsによると、Masterkeyは、セキュアプロセッサへの永続的なマルウェアの注入など、様々な攻撃を可能にする。Ryzenfallは、セキュアプロセッサ上で動作するセキュアOSを脅かし、仮想化を回避してマルウェアを注入する可能性がある。攻撃者は、OSが生成する「フェンスで囲まれたDRAM」に侵入できる。
CTS-Labsは、FalloutはEpycセキュアプロセッサ内のブートローダーを露出させ、保護されたメモリ領域へのアクセスを可能にすると主張しています。さらに同社は、Chimera攻撃はAMDのPromontoryチップセット内に隠された「メーカーが独自に用意した多数のバックドア」にアクセスできる可能性があると主張しました。CTS-Labsは、これらの脆弱性はAMDのRyzenチップセットに導入された後、USBホストコントローラーとSATAコントローラーを供給していたサードパーティチップメーカーであるASMediaに起因すると非難しました。
CTSは説明文書の中で、発見した脆弱性は「主に企業ネットワーク、組織、クラウドプロバイダーに関連する」と主張した。CTSはさらに、これらの脆弱性はいずれも物理的なアクセスを必要としないと付け加えた。攻撃者は、対象のマシン上でローカル管理者権限でEXEファイルを実行するだけで済むと同社は述べている。
「最初のローカル侵入後、攻撃者が必要とするのは、ローカル管理者権限と影響を受けるマシンだけです」とCTS-Labsは記している。「誤解を解くために言っておきますが、物理的なアクセスも、デジタル署名も、署名されていないBIOSを書き換えることによる追加の脆弱性も必要ありません。店頭でコンピューターを購入し、管理者権限でエクスプロイトを実行すれば、(影響を受けるモデルで)攻撃は成功します。」
CTS は、同社が発見した脆弱性を以下のハードウェアでテストしたと述べています。
- BioStar B350 GT3 Ryzen マザーボード。
- ギガバイト AB350-GAMING 3
- HP EliteDesk 705 G3 SFF Ryzen Proマシン
- HP Envy X360 Ryzen モバイルノートパソコン
- Tyan B8026T70AV16E8HR EPYC サーバー
- ギガバイト MZ31-AR0 EPYC サーバー
ユーザーにとってリスクはあるか?疑わしい
現時点では、CTSが発見した脆弱性を悪用するエクスプロイトは公開されていません。Guido氏と彼の会社Trail of Bitsは、これらのエクスプロイトへの攻撃は困難だろうと述べています。
「ほとんどのユーザーにとって、これらの脆弱性を悪用される即時のリスクはありません」と彼は記している。「たとえ詳細が今日公開されたとしても、攻撃者はこれらの脆弱性を悪用する攻撃ツールを開発するために、多大な開発労力を費やす必要があるでしょう。」
同様に、チェック・ポイント社もAMDの脆弱性がもたらす脅威に多少の疑念を抱いていました。「結論として、CTS Labsの当初の報告書は、RYZENFALL-1およびRYZENFALL-3の脆弱性が示す脅威モデルと影響を誤って伝えるような、問題のある表現になっていた可能性があると我々は考えています」と同社は述べています。
「しかし、問題のある表現はさておき、上記の技術的な詳細を調査した結果、これらは確かに有効な脆弱性であり、それがもたらすリスクは考慮する必要があることが確認できました」とチェック・ポイントは付け加えた。
CTS-Labsの動機もまた、同社のウェブサイトに掲載された、同社がレポートの対象に金銭的利益を有している可能性があるという注意書きを含め、精査の対象となっている。PCWorldはCTSの幹部へのインタビューを試みたものの、CTS-Labsの担当者が事前に質問リストの提出を要求し、また、タイミングや同社の金銭的動機に関する質問も禁じたため、最終的にインタビューを断られた。
AMDのセキュアプロセッサに問題を発見したセキュリティ組織は、CTS-Labsだけではありません。昨年9月には、Googleの研究者がスタックオーバーフローの脆弱性を発見し報告しており、AMDは修正済みと発表しました。AMDのBIOSでは、ユーザーがPSPのサポートを無効にできるようになりました。PSP(プラットフォーム・セキュリティ・プロセッサ)は、AMDのセキュアプロセッサの旧称です。
このストーリーは、Check Point Research と Trail of Bits からの詳細を追加するために、3 月 19 日午後 4 時 53 分に更新されました。
