セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

MeltdownとSpectreについて


画像:Meltdown and Spectre

新年早々、セキュリティ関係者をざわつかせるニュースがありました。
Intel、AMD、ARMのCPUに脆弱性があるというニュースです。
もし本当なら大量のコンピューターがその影響を受けることになるということ、更に初期段階では「Intelだけに影響がある」「いやそれは違う」と情報が錯綜したこともあり、困惑が広がりました。

本件の影響範囲が極めて広範に及ぶことは事実です。ではどの程度重大な問題なのかを把握できるよう、現状についてまとめました。

発見された脆弱性

今回明らかになった脆弱性は3つあり、それぞれ2つに大別されます。
一つは「Spectre」(スペクター)と名づけられ、Intel・AMD・ARM社製のプロセッサーに影響します。(CVE-2017-5753・CVE-2017-5715)
もう一つは「Meltdown」(メルトダウン)と名づけられ、主にIntel社製のプロセッサーに影響します。(CVE-2017-5754)
これらは両方とも、通常はアクセスできないCPU内のメモリ領域へ不正なコードによってアクセスすることが可能になるというものです。
これを悪用するとコンピューター内で処理される機密性の高い情報もそのまま見られてしまいます。

影響範囲

前述のとおりMeltdownとSpectreで影響範囲が異なりますが、ほとんど全てのCPUが対象という影響範囲の広さが大きな話題となっている理由の一つです。

影響の深さ

「あらゆる機密情報にアクセスされうる」という点は深刻ですが、現時点で実際の攻撃が確認されたわけではありません。
影響の深さは、根本的対策を行うにはあまりに根が深い点にあります。
Spectreに利用されている脆弱性の一つは、ソフトウェア構造ではなく現代のCPUアーキテクチャーによるものです。つまり修正パッチは文字通り「パッチ(絆創膏)」であり、この脆弱性を克服したアーキテクチャーのCPUが誕生しない限りは根本的対策にはならないのです。

対策

セキュリティ対策ではお馴染みの「最新パッチやOSを適用する」が基本となります。
根本的対策でなくとも、現在可能な対策を行うことは重要です。
既に多くのベンダーが修正パッチなどの配布を開始していますので、更新確認をしてみてください。
注意点として、こうした修正パッチによってIntel Haswell世代以前のCPUが大きく性能低下するという話も出ています。
コンピューターの使途によってはリスク評価の慎重な検討が必要となるかもしれません。

参考情報

Project Zero | Reading privileged memory with a side-channel
JVN Japan Vulnerability Notes | JVNVU#93823979 CPU に対するサイドチャネル攻撃
Meltdown and Spectre

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る