AMD、自動アップデーターの重大な脆弱性のパッチに124日かかったとして研究者への10,000ドルのバグ報奨金を拒否

サイバーセキュリティ コミュニティ内で議論を巻き起こした動きとして、AMD は、同社の自動アップデータ ソフトウェアの重大な脆弱性を発見した研究者に 10,000 ドルのバグ報奨金を支払うことを拒否しました。このセキュリティ上の欠陥は、最初の公開からパッチを適用するまでに 124 日かかったことから、AMD の脆弱性公開プログラムと、製品のセキュリティ向上に貢献したセキュリティ研究者に報酬を与えるという AMD の取り組みについて疑問が生じています。

脆弱性: 自動アップデーターの重大な欠陥

正体不明の研究者は、AMD の自動アップデート メカニズム、つまりソフトウェア アップデートを自動的にダウンロードしてインストールするコンポーネントに重大な脆弱性を発見しました。自動アップデータの脆弱性は、攻撃者が悪用して悪意のあるソフトウェアを配信したり、任意のコードを実行したり、ユーザーの介入なしにシステムに不正にアクセスしたりする可能性があるため、特に懸念されます。

研究者のレポートによると、この欠陥により攻撃者は中間者 (MitM) 攻撃を実行でき、正規の更新パッケージを傍受して変更する可能性があります。これにより、影響を受けるシステムにマルウェアがインストールされたり、ファームウェアが不正に変更されたりする可能性があります。

イベントのタイムライン: 発見から解決まで

一連のイベントは、脆弱性の開示と修復の複雑なプロセスを浮き彫りにしています。

• 0 日目: 研究者が脆弱性を発見し、公式のバグ報奨金プログラムを通じて AMD に非公開で報告
• 1 ～ 30 日目: AMD からの最初の承認、脆弱性が調査中であることの確認
• 31 ～ 90 日目: AMD からの連絡は限られており、解決までの明確なタイムラインはありません
• 91 ～ 120 日目: 研究者は複数回フォローアップし、解決に時間がかかることへの懸念を表明する
• 124 日目: AMD が脆弱性に対処するセキュリティ アップデートをリリース
• パッチ後: 研究者は、AMD が公開しているプログラム ガイドラインに従って 10,000 ドルの報奨金を申請します
• 最終決定: AMD は、脆弱性が規定の基準を満たしているにもかかわらず、報奨金の支払いを拒否

AMD のバグ報奨金プログラム: ガイドラインと申請

AMD は、セキュリティ問題を発見し、責任を持って報告する研究者に対する金銭的インセンティブを含む脆弱性開示プログラム (VDP) を運営しています。このプログラムは Bugcrowd プラットフォームを通じて管理されており、発見された脆弱性の重大度に応じてさまざまな報奨金を提供します。

公開されている情報によると、自動アップデータ機能に影響を与える重大な脆弱性は通常、最高額の 10,000 ドルの報奨金の対象となります。このプログラムでは、重大度基準を満たす有効な脆弱性を報告した研究者には報酬が与えられると明示されています。

物議を醸す決定: AMD のスタンス

この脆弱性は明らかに 10,000 ドルの報奨金の基準を満たしているにもかかわらず、AMD は研究者への返答の中で不特定の理由を挙げ、支払いを拒否しました。同社は、研究者との個人的なコミュニケーション以外は沈黙を保っており、特定の事件については公にはコメントしていません。

業界の専門家は、AMD がこの脆弱性はバグ報奨金プログラムの「対象外」であると主張したのではないかと推測していますが、自動アップデータ機能がプログラムの対象範囲に明示的に含まれていることを考えると、その可能性は低いと思われます。もう 1 つの可能性としては、AMD がこの脆弱性が以前に報告された問題の重複であるとみなした可能性がありますが、そのような以前の報告は文書化されていません。

研究者の視点

匿名を希望したこの研究者は、AMD の決定に不満を表明しました。 「私は彼らの開示プロセスに正確に従い、脆弱性を徹底的に文書化し、彼らがそれに対処するのを辛抱強く待った」と彼らは述べた。 「124 日間誠意を持って彼らと協力した後、私は彼らが公開されたガイドラインを尊重し、この種の重大な脆弱性に対して約束した報奨金を支払うことを期待していました。」

研究者はまた、詳細な概念実証と修正提案を提供したことにも言及し、それらは最終パッチで実装されたと伝えられています。 「これは理論上の問題ではありませんでした。実際に悪用可能な脆弱性だったので、悪意のある攻撃者によって武器化される前に修正できるよう支援しました。」

業界の反応と広範な影響

この事件は、責任ある開示プログラムへの取り組みを強化することを主張するセキュリティ研究者や業界専門家から批判を集めています。 AMD のような企業は、セキュリティ研究コミュニティへの信頼を維持するために、公開されている報奨金ガイドラインを尊重する必要があると多くの人が主張しています。

「バグ報奨金プログラムは信頼に基づいて構築されています」と、15 年以上の経験を持つサイバーセキュリティ研究者のエレナ ロドリゲス博士はコメントしました。 「企業が、定められた基準を満たす有効な脆弱性に対して報奨金を支払わない場合、今後の研究が妨げられ、ユーザーが危険にさらされることになります。AMD がセキュリティ コミュニティの集合知から利益を得たいのであれば、その約束を守る必要があります。」

自動アップデーターのリスク状況

自動アップデーターの脆弱性は、今日のソフトウェア環境において重要な脅威ベクトルとなっています。これらのメカニズムはシステムへの特権的なエントリ ポイントを提供し、従来のセキュリティ制御をバイパスすることが多いため、攻撃者はますますこれらのメカニズムをターゲットにします。

近年、Microsoft、Apple、Google に影響を与えるインシデントなど、大手テクノロジー企業全体で自動アップデータの脆弱性がいくつかの注目を集めています。これらの脆弱性により、マルウェアの配布から重要なインフラストラクチャを標的とした高度な持続的脅威に至るまで、あらゆることが可能になります。

脆弱性開示のベスト プラクティス

AMD の訴訟は、組織とセキュリティ研究者の両方にとって、いくつかの重要な考慮事項を浮き彫りにしています。

• 明確なプログラム ガイドライン: 企業は報奨金の資格に関する詳細かつ明確な基準を公開する必要があります
• 迅速なコミュニケーション: 組織は、開示プロセスを通じて研究者との定期的なコミュニケーションを維持する必要があります
• 現実的な期間: 重大な脆弱性は、妥当な期間内 (通常は 30 ～ 90 日) で対処する必要があります
• コミットメントの遵守: 企業は、公開された基準を満たす脆弱性に対して報奨金を支払う必要があります
• 透明性: 組織はパッチ プロセスと報奨金プログラムの変更について透明性を保つ必要があります

研究者のベスト プラクティス

セキュリティ研究者にとって、この事例は以下の重要性を強調しています。

• 徹底したドキュメント: 概念実証を含む、脆弱性に関する包括的な詳細を提供します
• プログラム ガイドラインに従う: 組織の開示プロセスを厳守する
• 忍耐力とプロフェッショナリズム: プロセス全体を通じてプロフェッショナルなコミュニケーションを維持する
• 記録の保持: すべてのコミュニケーションとイベントのタイムラインを文書化する

結論: バグ報奨金プログラムの将来

AMD の訴訟は、脆弱性開示プログラムにおける完全性の重要性についての警鐘として機能します。ソフトウェアがますます複雑になり相互接続されるにつれ、脆弱性を特定して修正する際の独立したセキュリティ研究者の役割がこれまで以上に重要になっています。

セキュリティ研究者との約束を守らない企業は、壊滅的なセキュリティ インシデントを防ぐ貴重な専門知識にアクセスできなくなるリスクがあります。対照的に、透明性があり、応答性が高く、公正なバグ報奨金プログラムを維持している組織は、セキュリティ コミュニティの集合知の恩恵を受け、最終的にはユーザーに対する保護を強化します。

サイバーセキュリティの状況が進化し続けるにつれて、組織とセキュリティ研究者の関係は、デジタル システムのセキュリティを維持する上でますます重要な役割を果たすことになります。 AMD の訴訟は残念ではありますが、業界全体で脆弱性の開示と報奨プログラムがどのように実施されているかについて反省と改善の機会を提供しています。

AMD は、自動アップデータの重大な脆弱性を修正した後、研究者に 10,000 ドルのバグ報奨金を拒否 — セキュリティ上の欠陥のパッチには 124 日かかった 全文を読む #CyberSecurity #BugBounty #VulnerabilityDisclosure AMD、自動アップデータの重大な脆弱性修正後の研究者への1万ドルのバグ報奨金の支払いを拒否 — セキュリティ上の欠陥のパッチには124日かかった 全文を読む #CyberSecurity #BugBounty #VulnerabilityDisclosure

重大度レベル	報奨金額	基準
重大	$10,000	リモートでのコード実行、権限昇格、またはシステムの完全な侵害
高い	$5,000	セキュリティ メカニズムのバイパス、機密データの漏洩
中	$2,500	部分的な機能のバイパス、情報開示
低	$500	軽微なセキュリティ問題、サービス拒否状態