by
ddos
·
脆弱性を発見することが、ベンダーから誠実な対応を引き出すことよりもはるかに容易な場合があります。セキュリティ研究者のMrBruh氏が経験したのは、まさにそのような事態でした。AMD製ソフトウェアに深刻な欠陥を発見したにもかかわらず、約束されていた報奨金を受け取ることなく幕を閉じたのです。
脆弱性発見のきっかけとなったポップアップ
すべては、新しいゲーミングPCに表示されたAMDユーティリティの煩わしいアップデート通知から始まりました。MrBruh氏がそのプログラムのコードを調べたところ、重大な問題が浮かび上がりました。アップデートのマニフェストファイルは暗号化されたHTTPSで取得されているにもかかわらず、実際の実行ファイルは暗号化されていないHTTPでダウンロードされていたのです。さらに悪いことに、このユーティリティはファイルを実行する前に証明書や署名の検証を一切行っていませんでした。
これにより、古典的な中間者攻撃(MITM攻撃)への道が開かれていました。同一ネットワーク上に潜む攻撃者や、通信を傍受できる立場の攻撃者であれば、正規のアップデートファイルを密かに悪意のあるファイルに差し替えることが可能です。このユーティリティは昇格した権限で動作するため、最終的には被害者のマシン上で任意のコードを実行される恐れがあります。この脆弱性にはCVE-2026-40677という識別子が割り当てられ、CVSS 4.0スケールで7.7のスコアが付与されました。MrBruh氏は自身のブログ記事に詳細な技術的調査結果を公開しており、その内容がHacker Newsに取り上げられると瞬く間に注目を集めました。
支払われなかった報奨金
MrBruh氏は2026年2月6日、AMDのバグバウンティプログラムを通じてこの問題を報告しました。しかしAMDは、攻撃シナリオに通信の傍受が必要であること、またオプションのツールに影響するものであるという理由から、報告を対象外として却下しました。約束されていた1万ドルの報奨金は、結局一度も支払われませんでした。
AMDに却下された研究者は、調査結果を公開しました。その投稿がHacker Newsで注目を集めると、AMDはMrBruh氏にプログラム規約違反を理由として記事の削除を要求しました。しかしGamers Nexusが後に動画調査で報じたところによると、AMDはMrBruh氏の公開後にプログラムの規約を改定し、対象外と判断された報告であっても公開を禁止する条項を遡及的に追加していたことが明らかになりました。つまり、研究者は脆弱性を開示した時点には存在しなかったルールに違反したとして責められたのです。
発見から124日後のパッチ適用、それでも補償なし
脆弱性は発見から124日後にようやく修正されましたが、当然ながら研究者への補償は行われませんでした。修正済みバージョンは、AMD Ryzen Master 2.14.3、AMD µProf 5.3、AMD Management Console 14.0.0です。AMDは、すべてのアップデートがHTTPS経由で配信されるようになり、署名検証も実装されたと説明しています。公式のセキュリティ情報はAMDセキュリティ情報AMD-SB-9027として公開されています。
MrBruh氏はパッチの内容を検証し、さらなる懸念点を指摘しています。AMDが採用した対策は暗号署名ではなく、CRC32チェックサムのみに依存するものであり、意図的なファイル差し替えに対する実質的な防御にはなりません。また氏は、ユーティリティが正常に自己更新できなくなる可能性があるリダイレクトの欠陥も別途発見しています。研究者はAMDのソフトウェアをすべてアンインストールし、AMD公式サイトから最新バージョンを手動でダウンロードすることを推奨しています。
何も節約できなかった信頼失墜
単純な技術的問題として始まったこの件は、AMDが自ら招いた信頼失墜へと発展しました。同社は短期的に1万ドルを節約できたかもしれません。しかし長期的な視点で見れば、はるかに大きな代償を払っています。セキュリティ研究者がAMDのエコシステムに時間と専門知識を投資する意欲を削いでしまったのです。バグバウンティプログラムの本来の目的は、まさにその努力に報いることにあります。研究者が自分の成果を認め、正当に評価されると信頼できなければ、プログラムは引き付けるべき人材を失うことになります。
翻訳元: https://meterpreter.org/cve-2026-40677-amd-bug-bounty-dispute/
