米Microsoft、「投機的実行」攻撃の研究を奨励 賞金2600万円:Spectre/Meltdownを受け
Microsoftは、CPUの投機的実行機能に対する攻撃手法を「脅威環境の変化」と位置付け、こうした脆弱性や緩和策に関する研究を促す目的で、研究者に賞金を贈呈する。
米IntelなどのCPUに「Spectre」「Meltdown」と呼ばれる脆弱性が発覚したことを受け、米Microsoftが賞金付きで、同様の脆弱性の発見を促すバウンティプログラムを実施している。
2018年1月に発覚したCPUの脆弱性は、IntelやAMDなどの主要プロセッサに搭載されている「投機的実行(Speculative Execution)」という機能に存在する。この問題を突く「サイドチャネル攻撃」と呼ばれる手法が、Googleなどの研究者によって報告された。
Microsoftは、こうした脆弱性とそれを突く攻撃を「この分野の研究における重大な進展」と位置付け、「脅威環境が変化した」と指摘。「投機的実行は、真に新しい種類の脆弱性であり、新たな攻撃手段を模索する研究が既に進んでいることが想定される」と述べ、そうした研究を促し、協調的な脆弱性情報の開示を促す目的で、バウンティプログラムを立ち上げると説明した。
バウンティプログラムは4分野に分類され、投機的実行に関する新しい種類の攻撃手法の発見と、WindowsとAzureに実装された緩和策を迂回する方法の発見、およびWindows 10とMicrosoft Edgeにおいて、Spectreと呼ばれる既知の脆弱性(CVE-2017-5753、CVE-2017-5715)の悪用が可能なインスタンスの発見を促す。
賞金はそれぞれの分野について、最高で25万ドル(約2600万円)を贈呈する。期間は2018年12月まで。「投機的実行サイドチャネルの脆弱性は、業界としての対応を必要とする」との認識から、寄せられた情報は影響を受ける関係者と共有し、協調して解決に当たるとしている。
関連記事
- Windowsの臨時アップデート公開、「Spectre」の脆弱性緩和策を無効に
Intelパッチの不具合発覚を受けて、MicrosoftがWindows向けの臨時アップデートを公開。Spectreの脆弱性に対する緩和策を無効にする措置を講じた。 - Intel、プロセッサの設計変更で「Spectre」「Meltdown」の脆弱性に対応
次世代の「Xeon スケーラブル・プロセッサ」と、第8世代 Coreプロセッサーでは、プロセッサの設計を一部変更して、新たな対策を導入する。 - もはや「OSの自動更新」だけでは守れない? 「Meltdown」と「Spectre」のベストな対策は
新年早々、世間を騒がせている脆弱性、「Meltdown」と「Spectre」。この対応策、ちょっと一筋縄ではいかないようで……。 - プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
Intelが「他社のプロセッサも影響する」と発表したプロセッサの重大な脆弱性「Meltdown」と「Spectre」についての情報がまとまったWebサイトを、これらの脆弱性を発見したグラーツ工科大学が開設した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.