［米国］
インテル、同社製CPUで発覚した2件の重大な脆弱性を修正

12件に及ぶ他の脆弱性については放置――「すべてのCPUには何らかの不具合がある」

（2008年08月11日）

　ロシアのセキュリティ専門家であるクリス・カスペルスキー（Kris Kaspersky）氏は、米国Intelから同社製CPUにおける2件の重大な脆弱性を修正したとの報告を受けたと発表した。同氏は、マレーシアのクアラルンプールで開催されるセキュリティ・コンファレンス「Hack In The Box（HITB）Security Conference」（10月27日～30日）において、同社製CPUの脆弱性を利用したデモンストレーションを行う予定だ。

　カスペルスキー氏は、Computerworld米国版の取材に対し、CPUの脆弱性について1カ月近く前からIntelと連絡を取り合っており、同氏が指摘した複数の脆弱性のうち、2件の重大な脆弱性を修正したと同社から報告を受けたという。この2件の脆弱性は、キャッシュ・コントローラと論理演算ユニット（ALU）に関するもので、両方ともリモートで任意のコードを実行するのに利用されるおそれがあるという。

　カスペルスキー氏は、致命的というほどではないが、ほかにもCPUの脆弱性を12件ほど発見しており、これらは依然として修正されていないと語っている。同氏によると、これらの脆弱性をIntelは修正する考えはないという。

カスペルスキー氏は、「Hack In The Box Security Conference」でIntel製CPUの脆弱性を突くデモを披露予定だ

　Intelの広報担当者であるジョージ・アルフス（George Alfs）氏は、Computerworld米国版の取材に対し、「評価チームには脆弱性などの問題をいつもチェックさせている。今回の問題についてもすでに調査に乗り出しているが、すべてのCPUには何らかの不具合があるものだ。当社は、カスペルスキー氏の指摘を真摯に受け止め、今後も調査していく考えだ」と述べている。

　カスペルスキー氏は、HITBで発表予定のデモ内容のサマリーにおいて、問題の脆弱性は、ユーザーの知らないうちにハードディスク・ドライブに損傷を起こす可能性があると指摘している。

　カスペルスキー氏は当初、HITBにおいて、Intelベースのマシンの脆弱性を実証する「Proof of Concept（POC）」コードを披露し、さらにJavaScriptコードもしくはTCP/IPのパケット・ストーム（突発的な大量パケットの送受信）を利用した攻撃方法を実演する予定であった。しかし、同氏は8月8日、さまざまな業界関係者の要求に応じて、こうしたコードの重要な部分を公開しないことに同意している。ただし、技術的詳細は明らかにするという。

　「多くの人が脆弱性の存在を認識すれば、問題を修正するようIntelに対していずれ圧力をかけ出すと思う」とカスペルスキー氏。「POCコードを公開しないよう求められたが、それについては理解できる。ただ、技術情報を公表しないよう求められたことについては同意しかねる。なぜなら、ISP側で防御策を講じれば、考えられるあらゆる攻撃を防ぐことができるからだ。そのため、詳細な技術情報を公表しても、大規模な攻撃や混乱を招くことはないだろう。だから、すべてではないが、多くの情報を明らかにするつもりだ」（カスペルスキー氏）

　またカスペルスキー氏は、POCコードの一部を公開して攻撃の仕組みとコードの作成方法について説明する予定だが、ハッカーがダウンロードして直ちに悪用できるようなPOCコードを公表するつもりはないと、話している。

(Sharon Gaudin／Computerworld米国版)