マイキー・キャンベル
· 2分で読めます
米下院エネルギー・商業委員会は、水曜日にアップルのティム・クックCEOを含む大手IT企業のCEOに送った書簡の中で、メルトダウンとスペクターのチップ欠陥の詳細が今月公表されるまで秘密にしておくという合意がなぜ行われたのかを質問した。
CNBCの報道によると、議会委員会はApple、Amazon、AMD、ARM、Google、Intel、Microsoft各社に対し、過去数週間にわたりハードウェアの脆弱性に対する修正プログラムをリリースしてきたことから、回答を求めている。書簡のコピーは本日、一般公開のためオンライン(PDFリンク)に掲載された。
委員会が指摘したように、メルトダウンとスペクターの影響を直接受けた大手IT企業は、2017年6月にGoogleのProject Zeroチームから脆弱性について知らされていました。これらの企業は、当初2018年1月9日に期限が切れる予定だった「情報禁輸措置」に同意しました。この期限までに、計画されていたソフトウェア対策の大部分が配布される予定でした。
しかし、メルトダウンとスペクターの詳細は予想よりも早く漏洩し始め、大手報道機関は1月2日には早くもこの問題を報じていた。予想よりも早い情報開示により、テクノロジー企業はそれぞれの緩和策への取り組みを加速せざるを得なくなったと書簡は主張している。
「このスケジュール調整は対応の有効性に過度な影響を与えていないようだが、2017年6月の開示に当初含まれていなかった企業や、1月4日の発表で不意を突かれた企業に対する禁輸措置の影響と妥当性に関する疑問を提起している」と委員会代表のグレッグ・ウォルデン、マーシャ・ブラックバーン、ロバート・ラッタ、グレッグ・ハーパーは書簡の中で述べた。
MeltdownとSpectreは、Intel、AMD、Appleが設計・製造した製品を含む、ほぼすべての最新マイクロプロセッサに影響を与えるハードウェア脆弱性です。Googleの研究者であるJann Horn氏によって発見されたこれらの脆弱性は、投機的実行と呼ばれる一般的なパフォーマンス機能を利用しており、ユーザーの知らないうちにシステムメモリからパスワードなどの機密情報を抜き出す可能性があります。
この書簡は、この問題について沈黙を守るという集団的な決定が、当初の開示を知らなかった企業、エンドユーザー、その他の組織に悪影響を及ぼしたかどうかという疑問を提起している。より明確に言えば、委員会は、最近の出来事は、協調的なサイバーセキュリティ禁輸措置に対するより厳格な監視を促している、と述べている。
「このような重大な脆弱性は、開示と秘密保持の間で難しいトレードオフを生み出すことを認識しているが、時期尚早な開示は、緩和策が開発され展開される前に悪意のある人物に脆弱性を悪用する時間を与える可能性があるため、今回の状況は、複数の当事者による協調的な脆弱性開示に関してさらなる精査が必要であることを示していると確信している」と書簡には記されている。
Appleは12月にMacの脆弱性を軽減する取り組みを開始し、その後、今月初めにiOSデバイス向けのソフトウェアアップデートとセキュリティアップデートをリリースしました。直近では、火曜日にmacOS High Sierraおよび旧バージョンのMacオペレーティングシステム向けの追加修正をリリースしました。
委員会は各CEOに対し、2月7日までに9つの質問に回答するよう求めている。
