インテル、欠陥通知で米政府より中国企業を優先 悪用の懸念も
米半導体大手のインテルは、自社製のチップに存在するセキュリティ上の重大な欠陥を発見した後、米国政府よりも先に中国企業を含む大手提携先に通知した。中国政府が先に情報を入手する恐れがある。米紙ウォール・ストリート・ジャーナル(WSJ)などが29日報じた。
米Googleのセキュリティチーム「Project Zero」が昨年6月、インテルなど3社のCPUなどから「Spectre」と「Meltdown」と呼ばれるプロセッサの脆弱性を発見した。インテルは1月9日に関連情報を公開する予定だったが、3日には英国のIT情報サイトThe Registerに報じられたため、予定を早めて4日に声明を発表した。
セキュリティ上の懸念
インテルの広報担当は9日の記者会見で、正式発表の前にどの会社に通知したかについて、コメントを控えた。しかし、「情報漏えいによって、予定どおりに米政府をも含めて関わるすべての方に連絡できなかった」と話した。
国土安全保障省(DHS)がこうした場合、事前に情報を把握したうえ、公的権威としてセキュリティの強化に向けた対応策を発表するのが一般的だ。今回は3日のニュースから関連情報を得たと関係者の話から分かった。
米国家安全保障局(NSA)の元職員、セキュリティ会社Rendition Infosecのジェイク・ウィリアムズ(Jake Williams)社長は、中国では広範囲にわたって監視網が敷かれているため、中国政府がインテルと中国企業とのやりとりをすでに掌握したはずだと話した。
システムの脆弱性を利用してデータを盗むことができるため、あらゆる情報機関は脆弱性に関する情報を狙っている。過去には中国政府とつながりがあるとみられる中国のハッカ−集団がこうした脆弱性を悪用してサイバー攻撃を強化していた。
大手提携先、6カ月も早く情報入手か
パソコン大手の中国レノボ・グループ(聯想集団)と中国のEC最大手アリババ(阿里巴巴集団)などがマイクロソフト社やアマゾン、英半導体設計ARMホールディングスなどと同じ、事前にインテルから情報を受け、時間的余裕をもって対策を講じたという。一部大手企業は6カ月も前に連絡を受けたという。
しかし、小規模企業の提携先は緊急な対応に追われており、極めて困難な状況にある。米カリフォルニア州に本拠を置くサムスン電子傘下のジョイエント(Joyent)社の取締役CTO(最高技術責任者)ブライアント・キャントリル(Bryan Cantrill)氏は、事前の連絡を受けておらず、現在対応に追われていると述べた。
インテルは脆弱性に対応するための修正パッチを配布したが、不具合があるとして使用中止を呼びかけた。現時点では、問題の根本的な解決になっておらず、脆弱性が悪用された事例も確認されていないという。
(翻訳編集・王君宜)