IntelのCPUの欠陥、米国政府より先に中国政府が把握していた可能性 32
ストーリー by hylom
大口顧客 部門より
大口顧客 部門より
「Spectre」「Meltdown」と呼ばれるCPUの脆弱性は各所に影響を与えているが、これらの脆弱性についてIntelは複数の顧客に対し、米政府よりも先に情報を公開していたという。これら米政府よりも先に情報を得られた企業に、AlibabaやLenovoといった中国企業が含まれていたことが一部で問題視されているようだ(ウォールストリート・ストリート・ジャーナル、Engadget、Slashdot)。
これに対し、Lenovoは秘密保持契約に基づいて情報を保護したとしている。また、Alibabaは中国政府と情報を共有したという話は推測で根拠のない噂だとしつつも、Alibabaの知らないところで政府が詳細をつかんでいた可能性はあるとしている。
なんか変か? (スコア:1)
まず自社製品のユーザーに知らせるのは当然でしょ。
あの会社は勝手に自国政府に報告するから言わないでおこうぜ、とか言い出すくらいなら、最初からそんな会社に製品を卸さなければいい。
Re: (スコア:0)
それに、大企業だと、どこの国に属しているかは、多少曖昧さがありますね。
重要な意志決定に関わるメンバーが、ひとつの国籍で揃っていないかもしれない。
IntelのCPUの欠陥、パッチ配布より先に中国政府が利用していた可能性 (スコア:0)
検証できないという恐怖
Re:IntelのCPUの欠陥、パッチ配布より先に中国政府が利用していた可能性 (スコア:1)
・・・・・現時点でも抜本的なパッチは配布されてないのですが。
#もともと、それがどうした?的な話。米政府が先じゃないのを問題視する理由がわからない。
Re:IntelのCPUの欠陥、パッチ配布より先に中国政府が利用していた可能性 (スコア:1)
日本企業が自国の政府機関より先にサムスンに脆弱性を通知し、それが韓国政府に筒抜けになっていたとしても、君は同じこと言えるのかね。
Re:IntelのCPUの欠陥、パッチ配布より先に中国政府が利用していた可能性 (スコア:2, すばらしい洞察)
そもそも、どこの国にしろ政府機関通知する意味ありますか?
メーカー以外に通知しても悪用されるデメリットしかない。
Re: (スコア:0)
まさにこれ。
ただ中国企業は全て半官半民なので「中国企業に知らせる=中国政府に知られる」ってことを警戒しておかなければいけなかった。
手痛い教訓だね。
Re: (スコア:0)
知られたからどうなのかがさっぱりわからん。中国政府に知られるか知られないかが何らかの2値の基準なのか?
Re: (スコア:0)
なにがどー手痛いのか。
ネトウヨの言うことはわからんw
Re: (スコア:0)
ベンダ以外(中国政府含む)がこんな情報を知ったら攻撃に使う可能性も予想できんのか。
ランサムウェアの作者は北朝鮮政府って言われてるし政府機関だから大丈夫なんてありえん話。
たまたまかもしれないが、PoCが発見されたってニュースが流れてるぞ。
Re: (スコア:0)
攻撃に使える穴は常にいくらでも開いている。いくつかは公になっていて、いくつかは対策がされていて、いくつかは水面下で回っていて、いくつかは未発見。その中のひとつがMeltdown/Spectreであり、過去にはHeartbleedであり、ある時にはその他様々な脆弱性だった。諜報機関や犯罪組織は常に手札を持っていて、必要な時にそれを切る。防御側はそれをいち早く察知し、威力を少しでも減じるように努める。
だから、「脆弱性Aの発見からBの発見までのこの期間、個人PCは攻略不能で、安全であった」などという事実があったことなど一度もない。脆弱性Aについてセキ
Re: (スコア:0)
日本にはNSAがないから呑気なんだね
Re: (スコア:0)
いいんじゃない。
日本政府よりは仕事してくれそうだし。
Re: (スコア:0)
中国人だって米国の盗聴より自国政府のそれをよほど恐れてるだろう。
Re: (スコア:0)
LINEみたいな韓国企業(建前上は日本企業と言ってるけど)が日本市場で圧倒的シェア握ってる現実があるんだが
たしか日本のAmazonの社長も中国の人だし
だれも気にしちゃいないのよ
Re: (スコア:0)
そこは日本の伝統「ノーガード戦法」だろう
Re: (スコア:0)
NSAが一番早く利用してそう。
Re: (スコア:0)
もう中国政府だけの心配をしている段階ではない [impress.co.jp]
ある種のフェイクニュースのような・・・ (スコア:0)
大口顧客が多いHPもかなり早い段階で知ってた感じだぞ
修正BIOSが早い機種で1月の中旬には既に出てたし
他の機種も1月中、2月上旬には全部対応終える予定になった(マイクロコードのバグで全部撤回されてる)
ちなみに日本メーカーは報道後対応なので後回しされてる感じです
単に出荷数の多さから影響度とテストも兼ねて連携してただけでしょう
>>米政府よりも先に情報を公開していた
米政府に先に公表したらNSAに漏らすだろ?
Re: (スコア:0)
あれもフェイク、これもフェイク、気分次第でなんでも嘘と言って悦に入る
嘘を嘘と見抜けないくせに他人の悪意を殊更に気にするのは統合失調症の始まり
Re: (スコア:0)
始まっちゃった人ですか。
お気の毒に。
Re: (スコア:0)
言い掛かりってやつですよね。
このストーリーの基幹部分は完全に妄想でしかなく、これを言っちゃ何でも言えてしまいます。
なぜこれがストーリーとして立ってしまったのかのほうが気になるくらいです。
Googleのチームが発見したのだから、妄想で言っていいなら、米政府のトランプ大統領を通してロシアに伝わっていた可能性だって言える。
そんなインテルより (スコア:0)
Googleのリサーチチームが先に知っていた(見つけてた)んだから、推して知るべし。
だだ漏れ度合い (スコア:0)
中国企業→中国政府間の情報だだ漏れ度合いが、米国企業→中国政府、その他の国の企業→中国よりも明確に酷いという根拠はあるのかな。しかるべき手順を踏んで報酬を提示したら、どの企業がどの政府に情報を流出されてもおかしくないような。
米政府「自国の企業の内部情報は全部把握してるのは常識だろ」ってこと?
Re: (スコア:0)
中国企業→中国政府間の情報だだ漏れ度合いが、米国企業→中国政府、その他の国の企業→中国よりも明確に酷いという根拠はあるのかな。
そもそも中国企業はそのほとんどが国有ないしは公有だ。
完全民間資本であっても社内に共産党組織が設立させている場合だってある。
この種の機密を株主に共有するか?という観点では国有であることはあまり問題ではないかもしれないが、
従業員が社内の共産党組織に報告していると言うことは十分あり得る。
アリババの言う「Alibabaの知らないところで政府が詳細をつかんでいた可能性はある」がこの共産党組織
経由のルートをたどった可能性は否定できないし、リスク管理の観点では織り込んでおくべき。
Re: (スコア:0)
そもそもスパイ機関なら脆弱性情報は自前で発見して隠しておくのが当たり前。リークで知るのは三流。
独自に発見して利用されていた可能性が大いにあることを織り込んでおくべきで、リークで知ったなどという前提を置くこと自体が甘い。
Re: (スコア:0)
米国企業に知らせたが米国政府には漏れていなかった。
中国企業に知らせたら中国政府に漏れていた。
ってことだろ。
Re: (スコア:0)
>米国企業に知らせたが米国政府には漏れていなかった。
んな訳あるか
Re: (スコア:0)
米国企業に知らせた→米国政府に知られた→誰も意味が分からずファイルの山に埋もれた
中国企業に知らせた→中国政府に知られた→0デイ攻撃に活用された
Re: (スコア:0)
もしかしてNSAがGoogleに圧力かけた話とか知らない?
情報公開 (スコア:0)
この手の脆弱性の情報公開の時期と範囲の問題は悩ましいね。
今のところメーカーに先に知らせて、修正が準備されて一般公開という手続きになってる。
でも、そのメーカー自身が色々なところに事前に漏らしてしまうことまでは対処できてない。
今回みたいに関わる CPU メーカーが多数あって、ハードメーカーとかまで含めると切りがない場合とか、コントロール可能とは思えない。
実際に、対策が準備できる前にメディアにリークされて酷いことになってるし、
公的機関やメーカー内部に犯罪者がいないとも限らない。
そしてオープンソースとかの開発者には情報が最後に渡される問題もある。
Re:情報公開 (スコア:1)
そもそも、Googleは自分のところ対応済んでパフォーマンスの確認までして情報公開しているのがいやらしいというか、大混乱に陥れたのはGoogleという。
# IntelやらAMDやらMSには結構前から通知していたとかいう噂だけど、どこまで本当なのか。