AMDのGPU製品のソースコード流出か。関与したハッカーはNavi 21やXbox Series X用のコードを含み、約110億円の価値があると主張
半導体製造大手AMDは3月26日、同社のグラフィックス製品のサブセットに関するテストファイルが盗まれたとして、公式サイトにて声明を発表した。その中で同社は、盗まれたファイルの内のいくつかはオンライン上に投稿され、いまは取り下げられた状態にあると説明している。
この盗難・流出事件については、同社がソフトウェア開発プラットフォームGitHubに対して、デジタルミレニアム著作権法(DMCA)に基づくリポジトリの取り下げ要求をおこなったと、海外メディアTorrentFreakが3月25日に報じたことで判明。ことが公になったため、AMDは今回声明を出したものと思われる。
We have issued the following statement about the theft of some test files related to a subset of our graphics products and will update as appropriate on https://t.co/WEk62xt4WK. https://t.co/hfBTw2kGxV pic.twitter.com/kpPrp62X7H
— AMD (@AMD) March 25, 2020
GitHubには3月20日ごろ、xxXsoullessXxxなるユーザーが「AMD-navi-GPU-HARDWARE-SOURCE」というレポジトリを作成。AMDのNavi 10・Navi 21・Arden GPUのソースコードだと主張するファイルをそこにアップロードしていた。Navi 10は現行のRadeon RX 5600/5700シリーズなどのことで、Navi 21はRDNA2アーキテクチャの次世代GPUを指している。残るArdenについては、マイクロソフトの次世代コンソール機Xbox Series Xに採用されるカスタムGPUのコードネームであると噂されている。
そしてAMDは3月24日、これを含む同様の投稿がおこなわれた複数のレポジトリについて、GitHubに対して取り下げを請求した。アップロードされた内容が投稿者の主張どおりのものだったのかどうかは不明だが、AMDはGitHubへの申請の中で、対象のレポジトリには同社のIP(知的財産)が含まれており、同社から盗まれたものであることを明らかにしている。これを受けてGitHubは各レポジトリを即座に削除した。
問題のレポジトリの作成者は前出のTorrentFreakの取材に対し、投稿したファイルはAMDのGPUのソースコードであると改めて主張。2019年11月にハッキングしたPC内にて発見したという。そのPCはハッキング対策はされておらず、ファイルは暗号化すらされていなかったとして、悲しく感じたとも述べている。AMDのセキュリティ対策状況を憂いたということだろうか。
AMDは今回の声明の中で、データのセキュリティと自社IPの保護は優先事項であるとした上で、昨年12月に同社の現行および将来のグラフィックス製品に関するテストファイルを保有していると主張する人物からコンタクトがあったと説明した。上述のハッカーである可能性が高そうだが、ハッカー自身はTorrentFreakに対して、訴えられる可能性が高いためAMDとは話していないと述べている。同社は自らの不手際を認めず訴訟を起こすであろうため、公にリークさせることを選んだという。ただし、GitHubに投稿したのはまだ一部だとしている。
またこのハッカーは、入手したソースコードには100万ドル(約1億1000万円)の価値があるとも主張。もし買い手が現れなければ、すべて流出させることになるだろうと述べている。
【UPDATE 2020/3/26 23:00】
100万ドル(約1億1000万円)としていた記述を、1億ドル(約110億円)へと訂正
一方でAMDは、盗まれたIPについては、同社のグラフィックス製品の競争力やセキュリティの核心情報ではないとコメント。ハッカーがソースコードであると主張しているのに対し、あくまでテストファイルであると述べているのはそのためのようだ。またほかのIPについては、このハッカーに流出していないとも述べている。
このハッカーは、元々どういった目的でAMDあるいはその社員のPCに対してハッキングをおこなったのかは分からないが、同社へのコンタクトを望まない姿勢から、脆弱性を調査・報告するホワイトハッカーではないことは間違いなさそうだ。盗んだ情報に100万ドルの価値が本当にあるのかどうかはともかく、値段を提示したということはAMDからお金を脅し取ろうと考えたのだろうか。またGitHubでは、お金を寄付してくれればさらなるファイルを投稿するとほのめかしていた。あるいは、単なる愉快犯の可能性もあるだろう。
今回AMDから流出した情報の重要性について、同社とハッカーのどちらの説明が事実かどうかは知る由もない。もし仮にNavi 21やArdenのソースコードであるならば、同社の将来のGPU製品やXbox Series Xの開発に多かれ少なかれ影響を与える可能性があるだろう。本件については犯罪行為として捜査が現在進行中であり、AMDは法執行機関やその他の専門家と緊密に連携して対応に当たっているとのことだ。