Intelは、2018年以降、AVXサイドチャネルの脆弱性、いわゆる「Downfall」の問題を2018年時点で認識していながらも数十億個のCPUを販売したとして訴訟を起こされている。「Downfall」脆弱性は今年8月にその存在が大きく報じられ、その後対策が講じられたが、この対策パッチを適用するとCPUの性能が大幅に低下するとされている。
『The Register』が報じた5人のIntel CPU購入者が起こした訴訟では、Intelは2018年からAVXサイドチャネルの脆弱性を認識していたと主張している。しかも、Downfallが発見されるまでアーキテクチャのループを修正する傾向がなかったため、数百万人のユーザーのセキュリティが危険にさらされただけでなく、脆弱性の余波でパフォーマンスが50%低下したという。Downfallの存在が実際に5年前にどのように始まったかを、『The Register』のレポートはこうまとめている:
訴状によると、IntelがSpectreとMeltdownに対処していた2018年夏、メーカーはサードパーティの研究者から、マイクロプロセッサーの巨人であるIntelのAVX(Advanced Vector Extensions)命令セット(Intel CPUコアが複数のデータに対して同時に演算を実行し、パフォーマンスを向上させることを可能にする)が、これら他の2つの重大な欠陥と同じクラスのサイドチャネル攻撃に対して脆弱であることを警告する2つの別々の脆弱性レポートを受け取ったという。
2018年はコンピュータセキュリティにとって重要な年であり、SpectreとMeltdownの脆弱性が大きく報じられた。これらは現代の多くのCPUで使用される推測実行プロセスを標的にしたもので、このプロセスの実装方法により、攻撃者が他のプロセスのメモリ内のデータを盗み見ることが可能となっていた。
SpectreとMeltdownに関する騒動の中で、セキュリティ研究者たちは類似の攻撃ベクトルを調査し始めた。2018年6月には、コンピュータ愛好家であるAlexander Yee氏が「Intelプロセッサーに関する新しいスペクター攻撃変種で、AVXおよびAVX512命令を利用する」という内容を初めて書いた。IntelはYee氏に詳細な報告を2018年8月まで公開しないよう要請した。Intelはこの情報に早期アクセスし、数千人のエンジニアを抱えていたため、このAVXデータ漏洩の可能性について何らかの対策を講じることが期待されていた。
しかし、訴訟の申し立てによると、Yee氏だけでなく、他の第三者からも2018年の夏にIntelのCPUにおけるAVXの脆弱性に関する報告がなされていた。重要なことに、Intelはこれらの報告を同時に認識していたとされている。
Intelはまだこの主張に反論していないが、この件が重要なのは、同社が自社のアーキテクチャに潜在するバックドアや抜け穴に「無関心」であることを示すものであり、消費者と企業の両方を危険にさらすものであるからだ。
訴訟の主な内容は、Intelが2018年以降、「欠陥」があると知りながら数十億個のCPUを販売し続けたこと、そしてCPU購入者にとって受け入れがたい二つの選択肢、つまり脆弱性を放置するか、CPUの性能を「破壊する」パッチを適用するかのどちらかを強いられたことに関するものである。これらの要因により、原告はIntelに対して「損害賠償と公正な救済」を求めている。
Sources
コメントを残す