AMDチップに見つかった一連の脆弱性は大きな波風を立てているが、それは事態が重大だからではない。自らの発見を公表した研究者らの、性急で一般うけを狙ったやり方のせいだ。プロの撮影したビデオと広報担当者のいるバグなど見たことがあるだろうか —— しかしAMDが警告を受けたのはわずか24時間前だ。欠陥は本物だとしてもこうしたやり方は不穏当だ。
問題の不具合を見つけたのはイスラエルのサイバーセキュリティー調査会社のCTS Labsで、欠陥にはRyzenfall、Masterkey、Fallout、Chimeraという派手な名前をつけ、専用のロゴとウェブサイトも作り、詳しい内容を記載した白書まで用意した。
ここまではまだよい。Heartbleedや、MeltdownとSpectreといった大きなバグにも名前とロゴはあった。
違うのは、過去のケースでは当事者たち、すなわちIntelやOpenSSLチームやAMDは、欠陥について十分前もって密かに警告を受けていたことだ。これが「責任ある開示」のコンセプトであり、公開前に開発者が問題の第一次対応を行う機会を与えるものだ。
大企業が自社にとって不都合な情報の開示について、どこまで統制力をもつべきかについては正当な議論があるが、一般に、ユーザー保護の観点から慣例は守られる傾向にある。しかし今回のケースでCTS Labsは、AMD
コメント