情報処理チップに不具合か、数十億の機器に影響の恐れ
2018.01.04 Thu posted at 17:37 JST CNN
サンフランシスコ(CNNMoney) 米インテルや米AMD、英ARMなどの情報処理チップに不具合が存在し、膨大な数の
コンピューターやスマートフォンがセキュリティー面で脆弱(ぜいじゃく)な状態に陥っている可能性があることが4日までに
分かった。複数の研究者が明らかにした。
この不具合が存在する場合、パスワードなどメモリー内に格納されている機密性の高いデータの読み取りを攻撃主に許してしまう
可能性もある。不具合の特定に尽力したオーストリア・グラーツ大学の研究者は、実際に攻撃を実行するのは難しいのではないかとの
見方を示しつつも、数十億の機器が影響を受けていると指摘した。
不具合は2種類で、名称はそれぞれ「メルトダウン」と「スペクター」。研究者によれば、スペクターにはパソコンやスマートフォン
など、ほぼあらゆる処理システムが影響を受けている。メルトダウンの方はインテル製のチップに特有の不具合とみられるという。
こうした不具合はコンピューターの脳の役割を果たすプロセッサーの中に存在する。現代のプロセッサーは「投機的実行」と呼ばれる
処理を行うように設計されており、どのようなタスクの実行要請が来るかを予測し、瞬時にメモリーの複数の領域にアクセスする
仕組みとなっている。
本来こうしたデータは保護・分離されているはずだが、一部の事例においては、プロセッサーがデータを整序している間に、情報が
無防備な状態にさらされる恐れがあるという。
各国の政府機関は、ユーザーに対し今回の脆弱性に関して警告する声明を発表。コンピューター関連の緊急対応を担う米機関はこの
不具合について、「機密性の高い情報へのアクセスを攻撃主に許してしまう可能性がある」と指摘した。ただ、現時点ではこうした
動きを把握していないとしている。
世界の半導体に脆弱性、大半のIT機器に影響も テク大手対応急ぐ
2018 年 1 月 5 日 03:26 JST THE WALL STREET JOURNAL
幅広いハードウエアに2つの脆弱性が見つかったとの指摘を受けて、ハイテク大手が対応に追われている。指摘したサイバー防衛の
専門家は、世界に存在するコンピューターデバイスのほとんどが影響を受ける恐れがあると警告している。
ハイテクメーカーや研究者はこの脆弱性について、現代の半導体の大半に長らく存在していた設計上の欠陥だと説明する。
これらは「スペクター」、「メルトダウン」と呼ばれるバグで、パソコン(PC)やタブレット、スマートフォンなど個人のデバイスや
共有サーバーにある作業メモリに保管されたデータが攻撃を受けやすくなるとしている。
その欠陥を通じ、ハッカーはデバイスやサーバーにアクセスし、データを盗み出すことができる。ただ、いずれのバグを利用する
としても、ハッカーはコンピューターデバイスの頭脳であるCPU(中央演算処理装置)に対し、悪意のあるソフトウエアを仕掛ける
必要がある。
企業や政府のサイバー防衛機関などによると、今回発覚した2つの欠陥に起因する大きな被害があったとの報告は、今のところない
もようだ。
だが、欠陥がまん延している状況を踏まえ、インテルや マイクロソフト 、アマゾン、アルファベット傘下のグーグルなどは、
バグの性質や脅威を最小化するために行った取り組みなどについて説明に追われている。ただ、修正パッチの一部はコンピューターの
処理速度を落とす可能性があるとセキュリティー専門家は指摘している。
グーグルはリスクのある自社製品の多くで、脆弱性を低減したとしている。モバイル向け基本ソフト(OS)「アンドロイド」の
ユーザーで最新のセキュリティー修正を行っているユーザーは何も行う必要はないとした。
だが「クローム」ブラウザーのユーザーは、システムを保護するため、一部のケースでは特定の手順を踏むよう求められるという。
企業向けにリースするクラウドプラットフォームについても修正を施したとしているが、同社のクラウド顧客は自社のシステム内で
修正を実行する必要があるとしている。
アマゾンはウェブサービスの顧客に対し、データセンターに修正を加えていることを通知。顧客にアマゾンのインフラ上で使って
いるOSの修正を呼びかけている。
マイクロソフトは顧客を守るため、半導体メーカーと緊密に連携し、低減措置を開発・試験していると明らかにした。
発見した研究者によると、今回発覚した2つの欠陥は、現代のCPUを搭載するほぼすべてのコンピューターに影響を与える可能性が
ある。とりわけ危険なのが、クラウド向けのデータセンターなど、多くの人が利用する共有マシーンだ。
発覚した脆弱性では、現代の半導体が処理速度を上げるために使う技術が標的となっている。半導体は各手順を踏むために必要な
情報をすべて得られるまで待つのではなく、どのような計算をすべきか予測して進めることで、処理速度を高める仕組みになっている。
研究者によると、ハッカーはこの技術を利用して、プロセッサーのメモリにある他の重要データを引き出すよう仕掛けることができる
という。
メルトダウンと呼ばれるバグは、通常はデバイス内のメモリへのアクセスに抵抗する保護措置をソフトウエアが飛び越すことを
可能にする。これにより、ハッカーはマシーンの中核機能や他のユーザーのデータにアクセスすることができるという。
専門家はスペクターよりも修正が容易だとしているが、修正パッチがマシーンの速度を落とす可能性があるという。
インテルのデータセンターエンジニアリングの責任者を務めるスティーブン・スミス氏は、ソフトウエアの修正パッチは欠陥による
影響を低減すると指摘。ハードウエアに修正を加えるために、業界全体での協調的な取り組むに着手したと述べた。
マイクロソフトの「ウィンドウズ」、アップルの「Mac OS」とオープンソース向け「リナックス(Linux)」については、既存の
修正パッチがある。だが、これを適用するかどうかは、クラウド・プロバイダーなど次第だ。
連邦政府が資金を拠出するカーネギー・メロン大学のサイバー防衛センターによると、スペクターについては、欠陥が現代の
半導体設計と深く関連しているため、一部の修正パッチは既知の攻撃については阻止できるが、完全に修正するにはコンピューター
チップを再設計した上で、差し替える必要があるとしている。
スペクターについては、インテルやアドバンスド・マイクロ・デバイシズ(AMD)、 ソフトバンク 傘下の英ARMが設計または
製造した半導体が影響を受けるもようだ。