これまで見てきた攻撃の大半はWindowsやアプリの脆弱性を狙ったものだった。ところが昨今は、パソコン用パーツや周辺機器などでも、脆弱性が発覚し、波紋を呼んでいる。

 とりわけIT業界を大きく揺るがせたのがCPUの脆弱性問題だ。米グーグルが2018年1月、CPUの性能を上げるための手法に脆弱性があると発表(図1)。該当の手法は、大半のCPU製品で採用していたため、米インテルや米AMDなどのCPUメーカーだけでなく、米マイクロソフトや各パソコンメーカーも対応に追われることになった。

米グーグルがCPUの脆弱性を公表
図1 米グーグルは2018年1月、メーカーを問わず大半のCPUにセキュリティ上の脆弱性があると公表した
[画像のクリックで拡大表示]

大半のパソコンが対象

 問題とされた脆弱性は「Spectre(スペクター)-1」「Spectre-2」「Meltdown(メルトダウン)」の3種類だ(図2)。「投機的実行」または「アウト・オブ・オーダー」と呼ぶ、命令を先読みしてあらかじめ実行する機能に問題があった。端的に言えば、Spectre-1と同-2は不正なアプリが正常なアプリのデータを読み出せる脆弱性、Meltdownは権限の低いユーザーがOSの保護した領域にアクセスできる脆弱性だ。脆弱性を悪用されると、通常はアクセスできない領域のデータ、例えばパスワードなどを盗み取られる恐れがあるという。

CPUで一般的な高速化機能に穴が見つかる
図2 1月時点に発覚した脆弱性は3つ。いずれもCPUの高速化機能に関するもの。マイクロコードまたはOSのアップデートで緩和できるという
[画像のクリックで拡大表示]

 対象となるCPUは、過去10年以上にわたり供給されてきた製品で、市場に登場したパソコンの大半を占める。ただ、実際の影響はそれほど大きくないとみられる。

 インテルが供給した一部CPUについては、マイクロソフトが3月にMeltdownおよびSpectre-2の脆弱性を緩和させる更新プログラムである「KB4090007」(Windows 10のバージョン1709向け)を公開。AMDやパソコンメーカーも自社製品向けに修正用の更新プログラムの提供を始めた(図3)。各メーカーとも更新プログラムの適用は任意としている。

各メーカーによるCPU脆弱性への対応状況
図3 米インテルは修正マイクロコードを米マイクロソフトのサイトにて公開。主要なパソコンメーカーは、修正マイクロコードをBIOSアップデートなどの形で提供する。マイクロソフトはCPUの脆弱性を緩和する更新プログラムを公開済みだ
[画像のクリックで拡大表示]

 Spectre-1に関しては、根本的な対策が現時点では提示されていないものの、実行可能条件が限定的であり、現実には脆弱性を放置しても攻撃が成功する可能性はかなり低いと見込まれる。マイクロソフトも「これまでに攻撃が確認された事実はない」としている。

 インテルは、2018年後半に投入する予定の第8世代Coreプロセッサーで、MeltdownおよびSpectre-2の脆弱性を保護する対策をハードウエアに施すと表明。Spectre-1についてはソフトウエアで対処するという。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。