AMDの未修正RCE脆弱性:マルウェア攻撃のリスクと対応経緯
筆者は、ゲーミングPCで頻繁にポップアップするAMDのAutoUpdateソフトウェアを調査した結果、深刻なリモートコード実行(RCE)の脆弱性を発見しました。この脆弱性は、アップデートURLがHTTPを使用している点に起因し、ネットワーク上の悪意ある攻撃者やISPを持つ国家主体による中間者攻撃(MITM attack)によって容易に悪用される可能性がありました。さらに、AutoUpdateソフトウェアはダウンロードした実行ファイルを署名検証などのセキュリティチェックを行わずに即座に実行してしまうという重大な欠陥も指摘されました。
当初、筆者はAMDのバグバウンティプログラムを通じて報告を試みましたが、「MITM攻撃」が対象外(out of scope)として却下されました。しかし、その後AMD PSIRT(製品セキュリティインシデント対応チーム)から再度の関心を示され、内部レビューが行われることになりました。この際、筆者はブログ公開を求められましたが、後に「CVE発行と修正の実施」が決定し、報酬は支払われないものの、脆弱性研究者としての功績が認められました。
その後、AMD側は業界標準(90日)よりも長い期間の公表停止(エンバーゴ)を要求し、最終的に124日間という長期にわたる待機期間となりました。筆者が再度問題提起を行った後も、AMDからの進捗報告は不十分でした。
最終的な修正パッチが提供された際、AutoUpdate機能はインストーラーからアプリケーション層へ移動され、HTTPSでの通信と署名検証が行われるようになったことが発表されました。しかし、筆者はこの「署名検証」の主張についても、実際には暗号学的に安全ではないCRC-32チェックに過ぎないことを指摘し、セキュリティ上の懸念を提起しています。
本件は、脆弱性の発見から修正パッチが提供されるまで、約124日という長期にわたる複雑な対応プロセスを経た事例であり、企業側の対応の遅延や矛盾点が浮き彫りになりました。ユーザーに対しては、AMDソフトウェアの完全なアンインストールと公式サイトからの再ダウンロードが強く推奨されています。
背景
本件は、大手半導体メーカーであるAMDの自動アップデート機能(AutoUpdate)に存在する深刻な脆弱性に関するものです。通常、このようなソフトウェアの脆弱性は発見後、迅速なパッチ適用と情報公開が求められますが、本記事では企業側の対応遅延やプロセスの複雑さが詳細に描かれています。
重要用語解説
- リモートコード実行 (RCE): 遠隔地からプログラムを操作し、意図しないコードを実行させる脆弱性。最も深刻なセキュリティリスクの一つであり、システム乗っ取りにつながる可能性がある。
- 中間者攻撃 (MITM attack): 通信経路の途中に不正に割り込むことで、送受信されるデータや通信内容を盗聴・改ざんする攻撃手法。本件ではHTTP利用によるデータ傍受が懸念された。
- CVE: Common Vulnerabilities and Exposuresの略で、発見されたセキュリティ脆弱性に付与される固有の識別子(番号)。この番号により、世界中のシステム管理者がその脆弱性を認識しやすくなる。
今後の影響
本件は、単なる技術的な脆弱性の修正に留まらず、大手企業におけるセキュリティ対応プロセスや情報開示の透明性に関する問題提起となっています。長期のエンバーゴ期間や矛盾した説明は、ユーザーに対する信頼性の低下を招き、今後のソフトウェアアップデート管理体制の見直しが求められます。