AMDは脆弱性パッチの適用を4か月遅らせたとして非難されたが、その後ルールを変更し、1万ドルの脆弱性報奨金の支払いを拒否した

最近、あるセキュリティ研究者が、自身が報告したセキュリティ脆弱性の不適切な取り扱いについてAMDを非難した。パッチの完成までに 124 日かかっただけでなく、その後、バグ報奨金プログラムの条件も変更され、これを口実に彼が受け取るはずだった 10,000 ドルのボーナスの支払いを拒否したため、業界内で疑惑が広がりました。

報道によると、オンライン名「MrBruh」のセキュリティ研究者は、組み立てたばかりのゲーム用 PC で AMD アップデート プログラムのコンソール ウィンドウが頻繁に表示されるのを目撃したため、自動アップデート ソフトウェアに疑いを持ち、リバース エンジニアリングを開始しました。分析の結果、AMD アップデート プログラムは HTTPS プロトコルを通じてアップデート リストを取得しますが、アップデート実行ファイルのダウンロードに実際に使用されるリンクはプレーン テキスト HTTP を使用しており、実行前に有効な証明書検証や署名検証が実行されていないことがわかります。これは、攻撃者が同じネットワーク環境にいるか、上流リンクを制御できる限り、中間者攻撃によって AMD のアップデート ファイルを悪意のある実行可能プログラムに置き換える可能性があり、アップデート プログラム自体が高い特権で実行されるため、リモートでコードが実行されるリスクにつながる可能性があります。

MrBruh 氏は 1 月 27 日にこの脆弱性を発見し、2 月 6 日に AMD のバグ報奨金プログラムを通じて正式に報告書を提出しました。その後、AMD は、この問題は「計画の範囲外」であり、中間者攻撃のシナリオが含まれており、「オプションのツール」に影響を与えるため、報奨金は発行されないという理由で報告書を閉鎖しました。ただし、その後、この脆弱性には正式に CVE-2026-40677 という番号が付けられ、CVSS 4.0 スコアは 7.7 となり、深刻度が低くないことを示しています。報告からパッチ適用、解除までの全プロセスは 124 日間続き、開示禁止は 6 月 9 日に終了しました。

AMDが最初に否定した後、MrBruhは技術分析記事を公開し、Hacker Newsなどのコミュニティの注目を集めた。世論が高まる中、AMD社内の製品セキュリティインシデント対応チーム（PSIRT）は同氏に連絡を取り、問題はまだ評価中であると述べ、同氏の開示行為が脆弱性報奨金プログラムの関連条件に準拠していないようだとして、公開記事を一時的に削除するよう求めた。

ハードウェアメディアGamers Nexusの調査によると、AMDはその後、脆弱性報奨プログラムのルールの文言を調整した。新しい規約では、セキュリティレポートが報酬の対象外、またはプログラムの対象外であると判断された場合でも、研究者はAMDの書面による同意なしに脆弱性情報を公開できないと明確に規定されている。言い換えれば、AMDは最初に古いルールの下で脆弱性の有効性と報奨金を否定し、その後ルールを変更し、その後一転して当時まだ書かれていなかった条項に違反したとして研究者を告発したということだ。

現在、AMD は公式セキュリティ情報でこの脆弱性の存在を公的に認めており、記事の中で MrBruh に署名を与えています。発表では、AMD Ryzen Master 2.14.3、AMD µProf 5.3、AMD Management Console 14.0.0 などのバージョンが軽減策を完了したと述べられています。 AMDは研究者に対し、すべてのアップデート通信が完全にHTTPSに切り替わり、アップデートプロセスに署名検証プロセスが追加されたと語った。しかし、MrBruh 氏は再テスト後に、HTTPS の使用を確認したものの、ダウンロードした実行可能ファイルで CRC32 チェックが見つかっただけで、セキュリティ上の意味での暗号署名の検証には当たらないと指摘しました。

さらに、研究者は、アップデート プログラムにはリダイレクトに関連した別の欠陥があり、それによって自身のアップデート プロセスが正常に進行しない可能性があるとも述べています。上記の問題を踏まえ、MrBruh はユーザーに対し、潜在的なリスクを軽減するために、現在の AMD 関連ソフトウェアを完全にアンインストールし、AMD 公式 Web サイトから直接最新バージョンを手動でダウンロードすることを推奨しています。

この事件は、AMDの自動アップデートメカニズム設計におけるセキュリティリスクを暴露しただけでなく、大手メーカーがセキュリティ研究グループをどのように扱うかについての議論を引き起こすきっかけとなった。外部の批評家は、最初にこの問題を報酬プログラムから除外し、後に開示を制限するためにルールを変更するというAMDの対応方法は、脆弱性開示システムに対するセキュリティコミュニティの信頼を損なう可能性があると考えている。