Digital Arts News Watch

2018/04/03   
セキュリティ全般    サイバー攻撃    標的型攻撃    i-FILTER    m-FILTER   

CPUの脆弱性「Meltdown」と「Spectre」、その問題点と最新動向をおさらい

働き方改革の目玉「在宅勤務」を安全に実現するには?

2018年になって早々、CPUの脆弱性「Meltdown」(メルトダウン)と「Spectre」(スペクター)が大きな話題となりました。「CPUそのものの脆弱性」という極めて特別な事態に、インテルを初めとするCPUメーカー、マイクロソフトやアップルなどのOS提供企業、セキュリティ企業各社が対応に追われました。

第一報は、イギリスのニュースサイトが1月2日に公開した記事「Kernel-memory-leaking Intel processor design flaw forces Linux, Windows redesign」で、追って翌3日に、オーストリアのグラーツ工大が特設サイト「Meltdown and Spectre」を公開。Googleも自社のセキュリティブログで情報を公開したため、一気に注目を集めました。

インテルは、いち早く確認用のツールを公開。日本では1月4日にJVN(Japan Vulnerability Notes)が「JVNVU#93823979: CPU に対するサイドチャネル攻撃」として注意を呼びかけました。

「Meltdown」と「Spectre」は、CPUの処理高速化の仕組みそのものに存在する脆弱性です。最近の高性能CPUは、処理の高速化のために、「将来的に実行されそうなコマンドを事前に実行しておく機能(投機的実行機能)」や「コマンドやデータが揃っていなくても、出来る処理を進める機能(アウトオブオーダー実行機能)」を搭載しています。「Meltdown」と「Spectre」は、こうした機能を悪用することで、異なるアプリケーションが使っているメモリ領域にアクセスを行い、情報を盗み取ります。

各脆弱性は、「Meltdown」がインテルのCPUのみ、「Spectre」がインテル、AMD、ARMのCPUに存在しますが、理論上、近代的なCPUに広範に存在すると考えられます。これはパソコン(Windows、Mac、Linux)に加え、スマートフォンや組み込み機器、IoT機器も影響を受けるという深刻な状況を意味しています。

「Meltdown」と「Spectre」は、ハードウェアに内在する脆弱性のため、単純なパッチ配布だけでは対応できないことから、CPUメーカーとOS提供企業とセキュリティ企業が足並みを揃える必要がありました。さらに一部OSでは、対応アップデートを導入するとCPU性能が低下してしまうことも判明し、これも事態を複雑にしました。

現在は1か月ほどが経過し状況も落ち着き、各社からアップデートプログラムが提供されています。一方で「Meltdown」「Spectre」を狙ったマルウェアの試作品が発見されたという報道も出てきました。引き続き、最新動向に注意が必要でしょう。

< 記事提供元:株式会社イード >