AMD Auto Updater 脆弱性 / CVE-2026-40677 / 修正まで124日
AMD公式ツールの自動更新に「重大な脆弱性」 更新ファイルを暗号化なしのHTTPで取得・署名検証もなし——通信の乗っ取りで任意コード実行のおそれ。修正は配信済み、発見者への報奨金は「対象外」
AMDの公式ツールが使う自動アップデーター(AMD Auto Updater)に、攻撃者が任意のプログラムを実行できる脆弱性(CVE-2026-40677) があったことが、2026年6月12日のCVE公開と発見者の報告で明らかになりました。対象には、AMDのCPUオーバークロック公式ツールRyzen Masterを含む複数のツール が含まれます。
原因は更新ファイルの取得を暗号化なしのHTTP通信 で行い、デジタル署名の検証もしていなかった こと。修正自体は通信のHTTPS化が中心ですが、報告から公開まで124日 を要しました。
さらにAMDは発見者への報奨金1万ドルを「制度の対象外」として支払わず 、研究者コミュニティで批判が広がっています。本記事では脆弱性の仕組み、124日の経緯、そしてRyzen Masterなどを使っている人が今すべきこと を順番に整理します。
2026-06-12 / CVE公開・複数の海外メディア報道 CVE-2026-40677 / 修正配信済み 報奨金1万ドルは支払い拒否
出典:AMD公式セキュリティブリテン(SB-9027) / Tom’s Hardware
「Ryzen Masterを入れているけど、自分は危ないの?」── 気になるのは 「何がどう危険だったのか」「もう安全なのか」「いま何をすればいいのか」 の3点ではないでしょうか。本記事ではこの3つの疑問に順番に答えていきます。
先に結論を言うと、修正は配信済みで、最新版に更新すれば問題ありません 。ただし攻撃が成立するのは公衆Wi-Fiなど通信に割り込まれる環境が中心で、自宅の固定回線だけで使っていた人のリスクは相対的に低めです。慌てず、確実に更新してください。
もうひとつの論点は、AMDの対応そのものです。修正完了まで124日、そして発見者への報奨金は支払わない ——今週のNVIDIAドライバ脆弱性14件(こちらは定例で修正配信) と並べて見ると、GPU・CPUベンダーのセキュリティ対応の差が見えてきます。
01 何が危なかったのか|「HTTP+署名検証なし」の自動更新脆弱性の仕組みはシンプルで、それゆえに深刻でした。発見者の検証報告をもとに3段階で整理します。
1
更新ファイルを「暗号化なしのHTTP」でダウンロードしていた AMD Auto Updaterは、新しいバージョンの実行ファイルをhttps ではなく http で取得していました。暗号化されていない通信は、同じネットワーク上の攻撃者や通信経路上の第三者が中身を差し替えられる 余地を生みます。
2
署名検証がなく、改ざんを見抜けなかった ダウンロードしたファイルが本物かを確かめるデジタル署名の検証が実装されておらず 、簡易な誤り検出(CRC-32)だけでした。CRC-32は偽装が容易なため、差し替えられた悪意あるファイルもそのまま「正規の更新」として実行 されてしまいます。
3
結果、通信を乗っ取れる攻撃者が任意のプログラムを実行可能に 公衆Wi-Fiの偽アクセスポイントなど、通信に割り込める立場の攻撃者(中間者攻撃) なら、更新のタイミングでマルウェアを送り込めた計算です。修正後は取得がHTTPS化 され、この経路は塞がれています。
02 修正まで124日、報奨金は支払い拒否|経緯の整理今回もうひとつ話題になっているのが、AMDの対応プロセスです。発見者が公開したタイムラインを整理します。
2026年1月27日
セキュリティ研究者が脆弱性を発見
2026年2月6日
AMDへ報告。当初は「報奨金制度の対象外」として却下 される
2026年2月7日
AMDが再検討を開始。CVE発行と修正の方針へ転換。ただし影響がRyzen Master以外にも及ぶ として、公開禁止期間の延長を要請
2026年6月9日
公開禁止期間が終了(報告から124日 。業界標準の90日を大きく超過)
2026年6月12日
CVE-2026-40677として公開 。修正は配信済み。報奨金1万ドルは最終的に支払われず、CVE発行と発見者クレジットのみ の対応に
03 Ryzen Masterユーザーが今すべきこと|3ステップ修正は配信済みなので、やることはシンプルです。AMD製ツールを入れている人は次の3ステップで確認してください。
1
AMD製ツールを使っているか確認する 対象はRyzen Masterなどのオプションツール です。スタートメニューやインストール済みアプリ一覧で確認してください。GPUドライバ(Adrenalin)だけの人も、この機会にバージョン確認をしておくと安心です。
2
AMD公式サイトから最新版を入れ直す 発見者は「一度アンインストールして、公式サイトから新しいバージョンを取得し直す」 方法を推奨しています。古いアップデーター経由ではなく、amd.comから直接ダウンロード するのが確実です。
3
公衆Wi-Fiでの「ツールの更新」は今後も避ける 今回の攻撃が成立するのは通信に割り込まれる環境です。ドライバやツールの更新は自宅の信頼できる回線で行う ——AMDに限らず、自動更新ツール全般に効く習慣です。
参考 AMD環境のおすすめ定番パーツRyzen Masterを使うようなAMD自作派に向けて、いま選びやすい定番を2つ挙げておきます。
ゲーム性能の正解 AMD Ryzen 7 9800X3D(8コア/16スレッド) Ryzen Master併用派の定番・ゲーム最強クラスのX3D 。3D V-Cache 96MB搭載でゲーム性能は2026年も最強クラス 。Eco ModeやCurve Optimizerの調整をRyzen Masterで詰める楽しみも含めて、AMD自作派の本命です価格目安:約61,000円~ Amazonで詳細を見る コスパ重視のAMD代替 ASRock Steel Legend Radeon RX 9070 XT 16GB AMD構成で固めるなら本命のRadeon上位 。RDNA 4世代・VRAM 16GBでWQHD最高設定が快適、FSR 4で4Kも視野 。ドライバ(Adrenalin)とツール群をAMDで統一できる構成は管理もシンプルですAmazonで詳細を見る ※価格は変動します。最新の価格はAmazonでご確認ください。
FAQ AMD自動更新の脆弱性に関するよくある質問
Q1. 何が起きたのですか
AMD公式ツールの自動アップデーターに、更新ファイルを暗号化なしのHTTPで取得し、署名検証もしない という実装上の問題(CVE-2026-40677)が見つかりました。通信に割り込める攻撃者が更新ファイルを差し替えれば、任意のプログラムを実行できた 計算です。修正は配信済みです。
Q2. 自分のPCはもう攻撃されていませんか
攻撃が成立するのは公衆Wi-Fiなど通信に割り込まれる環境で更新を実行した場合 が中心で、自宅の固定回線で使っていた人のリスクは相対的に低めです。実際に悪用された事例は報告されていません。心配な場合はセキュリティソフトでのフルスキャンと、ツールの入れ直しをおすすめします。
Q3. 対象のソフトはどれですか
AMDは「Ryzen Masterを含む複数のオプションツール」 と説明しています。GPUドライバ本体(AMD Software: Adrenalin Edition)の通常配信とは別系統ですが、AMD製ツールを入れている人は公式サイトから最新版に入れ直しておくのが安全です。
Q4. 何をすればいいですか
発見者の推奨は「一度アンインストールして、AMD公式サイトから新しいバージョンを取得し直す」 です。修正版は通信がHTTPS化されています。また、ドライバやツールの更新を公衆Wi-Fiで行わないことも、今回の件に限らない有効な自衛策です。
Q5. なぜ報奨金が支払われなかったのですか
AMDは「中間者攻撃を前提とする報告は報奨金制度の対象外」 という制度上の理由を挙げています。代わりにCVEの発行と発見者クレジットを提供しました。ルール上は成立する判断ですが、修正まで124日を要した経緯とあわせて、研究者コミュニティからは批判の声が出ています。
総評
脆弱性そのものは修正済みで、ユーザーがやることは「公式サイトから最新版に入れ直す」だけ です。実害の報告もなく、過度に怖がる必要はありません。HTTPでの配信と署名検証の欠如という原因は古典的で、自動更新ツールの作りがいかに重要かをあらためて示した事例です。
一方で、修正まで124日・報奨金は制度を盾に支払わず というAMDの対応は、今週のNVIDIAの定例的な脆弱性修正と並べると見劣りします。脆弱性報告に報いる文化は回り回ってユーザーの安全に直結するだけに、「直したからOK」では済まない宿題が残った形です。
実用面の結論は3つ。AMD製ツールは公式サイトから入れ直す、更新は信頼できる回線で行う、そして自動更新を過信しない 。この3点を押さえておけば、今回の件は「いい教訓」で終わらせられます。
あわせて読みたい ニュース
CrystalDiskInfo 9.9.0で偽Samsung SSDを1分チェック|正規品の選び方
グラフィックボード
AMD Adrenalin 完全活用ガイド 2026|HYPR-RX / AFMF / FSR 全機能解説
ニュース
AMD Adrenalin 26.5.1 配信開始|RE Requiem スタッタ修正ほか
トラブル・設定
GPUアンダーボルト完全ガイド【2026年版】消費電力を最大30%削減
