インテル、バグ報奨金プログラムをスペクターのようなサイドチャネル攻撃にも拡大、25万ドルの賞金をちらつかせる
トム・クレイジット著
インテルは、メルトダウンやスペクターといった脆弱性を悪用した攻撃を受けて、自社のプロセッサに新たなサイドチャネル脆弱性を発見したセキュリティ研究者に最大25万ドルの報奨金を支払うことを約束している。
インテルと複数のテクノロジー企業が、20年前の設計上の欠陥により、地球上のほぼすべてのコンピューターがいわゆるサイドチャネル脆弱性にさらされる可能性があることを明らかにして以来、メルトダウンとスペクターはクラウドコンピューティングとエンタープライズデータセンターの優先事項のトップに君臨しています。インテルとOSベンダーは、これらの脆弱性の影響を軽減するためのパッチを複数リリースしていますが、高度な技術を持つ悪意のあるハッカーたちが、これらの設計上の欠陥を悪用する新たな方法を競って模索していることは間違いありません。
これを受けて、インテルはバグ報奨金プログラムを招待制から一般公開プログラムに変更し、新たなサイドチャネル脆弱性を同社に報告した研究者に最大25万ドルの報奨金を提供すると、水曜日のブログ投稿で発表した。また、一般的なセキュリティ脆弱性の発見(および機密報告)に対する報奨金も10万ドルに増額する。
「これらの変更により、セキュリティ研究コミュニティーとのより広範な連携が可能になり、顧客とそのデータを保護する協調的な対応と情報開示に対するより良いインセンティブを提供できると確信している」とインテルのプラットフォームセキュリティ担当副社長兼ゼネラルマネージャー、リック・エシェバリア氏はブログ投稿で述べた。
バグバウンティは、ソフトウェアやハードウェアのバグを見つけるための非常に人気のある方法として登場しました。あらゆるテクノロジー製品には、多かれ少なかれバグが存在します。結局のところ、それらは人間によって開発されたものです。セキュリティ研究者が脆弱性の詳細を公開インターネット上に公開するのではなく、製品を開発している企業に直接バグを報告するインセンティブを与えるバグバウンティプログラムは、現在ではほぼすべての大手テクノロジーベンダーによって利用されています。
この特定のケースでは、サイドチャネル脆弱性を悪用するには高度な専門知識が必要であり、そのため、一般的なバグよりも価値が高くなります。攻撃は、メルトダウン脆弱性やスペクター脆弱性で使用された投機的実行手法など、悪用対象となるソフトウェアプログラムのハードウェア実装におけるパターンを見つけることに基づいています。
Intel や他のチップメーカーがこれらのサイドチャネルの脆弱性を回避するハードウェアを設計し、エンドユーザーが古いハードウェアを使い続けるようになるまで、この問題は長期間存在し続けることになるでしょう。
