- 研究者のPaul氏がAMDの自動アップデーターでMITMによるRCEを発見するも、報奨金は支払われず
- AMDが長期エンバーゴを課し、批判を受けて後に開示ルールを変更
- セキュリティコミュニティが反発、新ポリシーは透明性を損ない研究者の貢献を軽視するとの声
あるセキュリティ研究者がAMD製品にリモートコード実行(RCE)の脆弱性を発見しましたが、同社はこのような発見に対して約束していたバグ報奨金の支払いを拒否したとされています。
2026年2月、Paulと名乗る研究者がAMDの自動更新ソフトウェアにおいて、中間者攻撃(MITM)を介したRCEの脆弱性を発見しました。同氏はAMDに報告するとともに、調査結果についてのブログ記事を公開しました。
しかしAMDは、当該脆弱性がRCEであるにもかかわらず、MITMを利用した攻撃は報奨金の対象外だと主張し、研究者にブログ記事の削除を求めました。Paul氏はその要求に応じました。
Googleが訴訟を提起
AMDは報道に対し100日間のエンバーゴを要求しました。他のツールにも脆弱性が存在するためとされています。しかしそのエンバーゴは最終的に124日間へと延長され、通常の90日間という期間を大幅に超えるものとなりました。
この件を報じたTom’s Hardwareは、この事実だけでも、当該脆弱性に対して設けられた1万ドルの報奨金支払いを拒否した決定を再考すべき十分な理由になると主張しています。
AMDは自動アップデーターのダウンロードコードを再設計することで問題に対処しましたが、今度は別の問題が発生しました。アップデーター自体が正常に動作せず、自己更新ができない状態になってしまったのです。
さらに悪いことに、研究者への報奨金支払いを拒否したことが報道された後、AMDはバグ報奨金の開示ルールを更新し、スコープ外とみなされたバグにも非開示要件が適用されるよう範囲を拡大したとされています。TechSpotによると、批判派はこの変更について「既存のポリシーではなく、公からの批判への直接的な回答であることは明らかだ」と即座に指摘しました。
同媒体はまた、セキュリティコミュニティが「強く反発した」とも報じています。今回の変更は事実上、「バグが報奨金のスコープ外であっても、将来の研究者は直ちに公開開示できない」ことを意味するものであり、「企業に対して研究成果を真剣に受け止めさせるための数少ない手段の一つが研究者から奪われることになる」とされています。
Redditでは、AMDが「重大な脆弱性を報告してくれる研究者を本当に大切にしているのか」についてコミュニティ内で活発な議論が行われています。
