毎日、1000件以上のアクセス、4000件以上の閲覧がある情報発信ブログ。花や有機農業・野菜作り、市民運動、行政訴訟など
てらまち・ねっと



 パソコンやスマホの「頭脳」に当たる「CPU」に重大な欠陥があることが分かった、という。
 年明けから大問題、あるいは決定的な問題でネットの世界が揺れている。 

 欠陥の症状がどのようであるか、ということは大事。とはいっても、素人には、その欠陥に対して、各メーカー・管理者がどのように修正の対処をしてくれるか、それが一番大事、かつ緊急なこと。うちは、デスクトップ4台、タブレット1台を常用している。しかも、使用時間がとても多いから快適に使いたい、ということで「CPU」も「メモリー」もそれぞれの機種の最高レベルをセットするようにしてきたから。

 ともかく、今朝調べてみた。
 最近の経過について、★≪インテルは2017年11月にCPUの不具合から遠隔操作される脆弱性を公表。しかし今度はインテル製CPUだけでなくARMやAMDなどのCPU製品にまで影響するセキュリティ上の問題が見つかりました。≫(Engadget)

 さらに、「処理・対処されることの影響」として ★≪タスクとCPUモデルによっては最大30%ものパフォーマンス低下の可能性があると予想され≫(Engadget)という。

 ★≪グーグルの研究者らは最近、世界中のコンピューターやスマホに搭載されている数十億個のプロセッサーのほぼ全てに存在する脆弱性を発見。この脆弱性を利用してハッカーらが重要なデータに不正アクセスできる可能性がある上に、修正プログラムを使った場合、性能が低下する恐れがあるという≫(日刊工業 2018/1/4)

 パソコンなどは対処されるが、スマホは対処されない、なんて話も記されている。「20年前から分かっていたこと」という書き方もあった。
 そんなことで、今日のブログに幾つかを記録しておく(ポイントを色塗り)。

● プロセッサ脆弱性「Meltdown」と「Spectre」のまと...プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設/ITmedia NEWS 2018年01月04日 10時25分 
●IntelなどのCPUに脆弱性を発見 業界各社が協力して対応を急ぐ/AFPBB News 2018年1月4日 13時37分

●Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが安全性と高速性を両立できない問題を抱える」との指摘つ機密情報が漏れる可能性。
/GIGAZINE 2018年01月04日 13時26分00秒
●インテルやARM、AMDのCPUに脆弱性、機密情報が漏れる可能性。PCやスマホのアップデートを推奨 最新パッチ適用は基本/Engadget 2018/01/04

●MSやグーグル、アマゾンがインテル半導体の脆弱性対応開始/日刊工業 2018/1/4 16:00 
●世界の半導体に脆弱性、大半のIT機器に影響も テク大手対応急ぐ」/wsj 2018 年 1 月 5 日 03:26
●インテル「産業全体の問題」 脆弱性報道受け、株価急落/日経 2018/1/4 10:13

 なお、今朝の気温はマイナス1.0度。快晴のようなので、快適なウォーキングか。
 
人気ブログランキング = 今、1位
人気ブログランキング参加中。気に入っていただけたら ↓1日1回クリックを↓
 ★携帯でも クリック可にしました →→ 携帯でまずここをクリックし、次に出てくる「リンク先に移動」をクリックして頂くだけで「10点」 ←←
 ★パソコンは こちらをクリックしてください →→←←このワン・クリックだけで10点

● プロセッサ脆弱性「Meltdown」と「Spectre」のまと...プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
      ITmedia NEWS 2018年01月04日 10時25分  佐藤由紀子
 米Intelが発表したプロセッサの重大な脆弱性についてのまとめサイトが開設された。複数のセキュリティ研究者が発見した2つの脆弱性「Meltdown」と「Spectre」について、基本的な説明があり、技術的な情報および影響を受けるサービスや製品を提供する企業の公式サイトへのリンクなどが掲載されている。

meltdown 1 / このサイトは2つの脆弱性を発見した組織の1つであるオーストリアのグラーツ工科大学が開設した。Meltdown(崩壊)という名称は、この脆弱性が正常であればハードウェアによって守られるはずのセキュリティ境界を崩壊させることから付けられたというSpectre(幽霊)は、speculative execution(投機的実行:コンピュータに必要としないかもしれない仕事をさせること)から来ているが、修正が難しく、長く悩まされる可能性があることも示しているという。

meltdown 2 / MeltdownとSpectreのロゴ / 2つの脆弱性は個人用のPCだけでなく、スマートフォン、クラウドサービス、IoTにも影響する可能性がある。これらが悪用されると、プログラムが保存している、通常は他のプログラムからアクセスできないデータへのアクセスが可能になるので、例えばパスワードや画像、メール、機密文書などを盗まれる恐れがある。
 このサイトからは本稿執筆現在、Intel、Microsoft、Amazon、ARM、Google、Mitre、Red Hatの情報ページのリンクに飛べる。
 Intelは同日、「来週には各社から対策が発表される」と説明した。

●IntelなどのCPUに脆弱性を発見 業界各社が協力して対応を急ぐ
          livedoor AFPBB News 2018年1月4日 13時37分
【AFP=時事】米インテル(Intel)などのCPUに脆弱(ぜいじゃく)性が見つかり、ハッカーにつけ込まれて機密情報が盗まれるのではないかという不安が広がっている。同業の米AMDや英ARM、検索最大手の米グーグルなど業界各社が協力して対応を急いでいる。

 脆弱性に関する警告が飛び交う中、インテルは3日に声明を出し、同社製品に特有の「バグ」や「欠陥」があるとする報道は正しくないと反論。

 同社のブライアン・クルザニッチ(Brian Krzanich)最高経営責任者(CEO)は米経済専門局CNBCに対し、この脆弱性は米グーグル(Google)の調査チームが先に発見していたもので、業界が対策を取る間非公開にされていたと語った。

 インテルは、問題の迅速な解決に向けて同業のAMDやARM、ソフトウエア各社と協力し、業界を挙げて対応に当たっていると説明している。

 グーグルは、情報の大部分がメディアに流出したため、予定を数日前倒ししてこの脆弱性を公表。それによると、同社の調査チームがインテルやAMD、ARMのチップを搭載した機器や、それらを動作させる基本ソフト(OS)に「重大なセキュリティー上の欠陥」を発見した。欠陥を悪用されれば、パスワードや暗号化キーなどメモリーに保存されている機密情報が権限のない人物に読み取られる恐れがあると指摘している。

 グーグルは自社のブログで「新たな種類の攻撃から守るため、当社のシステムと影響を受ける製品をアップデートした。また、ユーザーやウェブを保護するためにハードウエア、ソフトウエアのメーカー各社と協力している」と明らかにしている。

●Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが安全性と高速性を両立できない問題を抱える」との指摘
       GIGAZINE 2018年01月04日 13時26分00秒
Intelプロセッサの設計上の欠陥によって機密情報が盗み出される可能性があり、対策ソフトウェアでのアップデートが必要でパフォーマンスのダウンが避けられないと報じられて大きな問題となっています。Intelプロセッサ固有の問題と思われている脆弱性については大きく2種類あり、その1つはAMDやARMなどのプロセッサも影響を受けるとされていることが明らかになっています。

◆MeltdownとSpectre
2018年初から大騒動になっているCPUに内在する脆弱性は2種類あり、それぞれ「Meltdown(メルトダウン)」「Spectre(スペクター)」と命名されています。なお、メルトダウンはIntel製CPUに特有の脆弱性で、スペクターはIntel・AMD・ARMなどのすべてのプロセッサに内在する可能性が指摘されています。

・・・(略)・・・メルトダウンはGoogleやAmazon、Microsoftなどのクラウドコンピューティングサービス特有の問題です。・・・(略)・・・メルトダウンの影響を受けるサーバーCPUにおいてIntelは90%以上のシェアを誇りますが、既報の通りメルトダウン問題がIntelのCPU特有の問題でAMDのCPUに影響を与えないのであれば、AMDの「EPYC」シリーズとのパフォーマンス競争で不利になりかねないためIntelは利益率の高いサーバー向けCPU市場で大きな打撃を受ける可能性が指摘されています。

もう一つの脆弱性「スペクター」については・・・(略)・・・20年来、プロセッサーに内在してきた構造的な問題であり、事実上、すべてのマイクロプロセッサーに影響を与えると述べています・・・(略)・・・新しいチップ設計で演算能力の高速化に重点を置くことでセキュリティ問題に対して脆弱になっているという構造上の欠点を指摘しています。

◆Googleの対応
・・・(略)・・・影響を受けるサーバーで駆動するGoogleサービスの対策を進めていたとのこと。本来は2018年1月9日に公開予定だったセキュリティアップデートについて、すでに脆弱性問題が広く知られたこともあり、前倒しで情報公開に踏み切っています。

影響を受け得るサービスと対策は以下の通り。なお、記載のないGoogleサービスは、ユーザーの操作が不要だとのこと。

・「Android」 最新のセキュリティ更新プログラムが適用されている端末は保護済み。
・「Google Apps/G Suite」(Gmail、Googleカレンダー、Googleドライブなど) 対策済み。追加のアクションは不要。
・「Google Chrome」「Google Chrome OS」「Google Cloud Platform」 一部、ユーザーによる操作が必要。詳細は以下のサイトで確認可能。
・「Google Home」「Chromecast」「Google wifi」「OnHub」 ユーザーによる操作は不要。

◆Microsoftの対応
The Vergeによると、Microsoftは各Windows OSに対して今回のCPUに内在する脆弱性に対する緊急のセキュリティ更新プログラムを提供するとのこと。Windows 10では自動的に更新が行われる予定です。


ただし先に提供されるのはWindows 10向けの更新プログラムで、Windows 7やWindows 8.1などのOSは次回のWindows Updateを通じて配布される予定です。

The Vergeが情報筋から得た情報によると、更新プログラムやファームウェアアップデートによって比較的、新しいIntelプロセッサではパフォーマンスの大幅な低下はない見込みだとのこと。ただし、古いIntelプロセッサではパフォーマンスの大幅ダウンの可能性があるそうです。


また、Microsoftはクラウドサーバー向けに最新のファームウェアとソフトウェア更新プログラムを導入する予定。なお、記事作成時点においては脆弱性を悪用した攻撃は確認されていないと述べています。

●インテル「産業全体の問題」 脆弱性報道受け、株価急落
        日経 2018/1/4 10:13
 【シリコンバレー=佐藤浩実】米インテルのCPU(中央演算処理装置)にセキュリティー上の脆弱性が見つかったとする英メディアの報道の余波が広がっている。3日の米市場でインテルの株価は一時6%下落。3日午後にはインテルが「当社の半導体の欠陥ではなく、産業全体で取り組んでいた問題」との声明を発表した。

 発端は英テックメディアのザ・レジスターが2日夜に「インテルの半導体にセキュリティー面で問題のある設計上の欠陥が見つかった」と報じたことだ。対象は過去10年以上にわたって供給した製品で、ソフトウエアで問題を修正するために「動作速度が5~30%遅くなる」としていた。英BBCや米CNBCなど多くのメディアが報道を引用し、3日の米市場でインテル株は急落した。

 ただ、3日午後にインテルは「インテル製品固有の『バグ』や『欠陥』による脆弱性という報道は正しくない」との声明を発表。悪意のある攻撃でコンピューターの情報を取られる恐れがあるとグーグルの研究チームが数カ月前に発見したのを受け、産業全体が認識していた問題だと説明した。

 アドバンスト・マイクロ・デバイス(AMD)や英アーム・ホールディングス、複数のOSメーカーなどと共同で対策を進めており、来週から順次ソフトウエアなどの更新を行う準備をしているところだったという。アームは日本経済新聞の取材に対し、インテルや他の半導体メーカーと協力していることを認め、「アーキテクチャー(半導体の設計構造)の欠陥ではない」とした。

 インテルは更新に伴う動作速度低下の指摘についても、3日午後に開いた投資家向けの電話会見で「平均的な利用では目立って感じることはない」(スティーブ・スミス副社長)と説明した。

 一方、マイクロソフトは「半導体メーカーと密接に協力しており、クラウドサービスへの対策や『ウィンドウズ』の顧客を守るための更新を展開中だ」としている。マイクロソフトによれば「これまでに攻撃が確認された事実はない」という。

●インテルやARM、AMDのCPUに脆弱性、機密情報が漏れる可能性。PCやスマホのアップデートを推奨 最新パッチ適用は基本
      Engadget 2018/01/04 Munenori Taniguchi
インテルは2017年11月にCPUの不具合から遠隔操作される脆弱性を公表、その解決に取り組んでいます。しかし今度はインテル製CPUだけでなくARMやAMDなどのCPU製品にまで影響するセキュリティ上の問題が見つかりました。

これはCPUが備える先読み命令実行機能の問題を突くことで、OSが直接使用するカーネルメモリーとして保護されるはずの領域に、一般のプログラムからある程度アクセスできてしまうというもの。インテルだけでなく、ARMやAMDといった各社のプロセッサーでに影響があると報告されており、特にインテル製CPUの場合は約20年前から問題が存在していたとされます。
この問題が報道された当初は、インテルCPUの脆弱性として取り扱われました。しかし、インテルは問題に関する声明で「この問題が悪用され、データを破損、改ざん、または削除されるような可能性はない」としました。また、この問題は「インテル製品に固有だとする報道は間違い」だと主張しました。

この問題はCPUが次に実行する命令を先読み実行することで処理速度を上げる"投機的実行"と呼ばれる処理を突くことで発生するため、インテルのCPUに限らず、他メーカーのCPUでも同様のことが起こりえます。そしてこの問題によって、カーネルメモリーに格納されるパスワードやセキュリティキー、キャッシュファイルといった機密情報に一般プログラムからアクセスでき、最悪はクラウド上で実行されるプログラムから、カーネルメモリー内の機密情報を読み出せてしまう可能性があります。

インテルの声明を受け、ARM HoldingsはCortex-A系列のチップがこの問題の影響を受けることを確認したものの、主にIoT製品に使われるCortex-M系列には影響がないことを公表しました。一方、AMDは「アーキテクチャが異なることから、現時点でAMDプロセッサにおけるリスクはほぼゼロ」だと述べています。

ZDNetはGoogleのセキュリティ調査チーム「Project Zero」の研究者が発見したとする、投機的実行の問題を突く2つの脆弱性"Meltdown" および "Spectre" を紹介、Meltdownはインテル製CPUのみに影響するもののセキュリティパッチで対応できること、SpectreはARMやAMD製品にも影響し対策にはCPUを設計から変更する必要があるが、悪用するのは難しいことを報告しています。

具体的な修正は、OSがカーネルメモリーと通常のプロセスを完全に分離するよう処理を変更することで対応できるとされます。しかしこの処理によってシステムコールやハードウェア割り込み要求のたびに2つのメモリアドレス空間を切り替える手間が生じます。

修正の適用が一般のPCユーザーが使うウェブブラウジングやゲームなどにどれほど影響するかはわかっていません。しかし、タスクとCPUモデルによっては最大30%ものパフォーマンス低下の可能性があると予想され、とくにAmazon EC2やGoogle Compute Engineといった仮想化システムへの影響が懸念されます。

なお、問題が公になる前からインテルはマイクロソフトやLinuxカーネル開発者らに情報を共有しており、すでにWindows 10やLinuxにはこの問題に関連するパッチが提供され始めています。一方、OSカーネルに詳しい専門家のAlex Ionescu氏によると、アップルは12月6日に公開されたmacOS 10.13.2ですでにこの問題への対応を開始しており、macOS 10.13.3でさらに修正を加えるとされます。

The RegisterはAmazon Web Service(AWS)が米国時間1月5日に、Microsoft Azureクラウドサービスが1月10日に修正適用を実施するだろうと伝えています。またGoogleはAndroid向けのパッチを提供予定ではあるものの「Androidデバイスでこの脆弱性を悪用するのは難しい」としており、スマートフォン各社が自社製品のためにパッチを提供するかは微妙なところかもしれません。Googleはこのほかにも各種サービスの対応情報をまとめてブログに報告しています。

今回の問題を突かれて実害が発生したという報告はまだないものの、ほとんどすべてのインテル製CPUが影響を受けるというのは深刻な話です。商用のクラウドサービスにとっても、パッチ適用でパフォーマンスが落ちるとなると、場合によっては設備増強など然るべき対策が必要になるかもしれません。

一方、われわれユーザーができることは、つねにPCのOSとパッチを最新に保つことしかありません。たとえパフォーマンス低下があるにしても、パッチを当てるだけで良いなら何らかのセキュリティ被害を被るよりははるかにましなはずです。

●【電子版】MSやグーグル、アマゾンがインテル半導体の脆弱性対応開始
      日刊工業 2018/1/4 16:00 
マイクロソフト、対策プログラム公開へ
 米インテルやマイクロソフトなど世界の主要な半導体・ソフトウエア企業は、膨大な数のコンピューターやスマートフォンをハッキングや性能低下の危険にさらす脆弱性に対処し始めている。

 グーグルの研究者らは最近、世界中のコンピューターやスマホに搭載されている数十億個のプロセッサーのほぼ全てに存在する脆弱性を発見。この脆弱性を利用してハッカーらが重要なデータに不正アクセスできる可能性がある上に、修正プログラムを使った場合、性能が低下する恐れがあるという。

●世界の半導体に脆弱性、大半のIT機器に影響も テク大手対応急ぐ
 ウォール・ストリート・ジャーナル日本版 2018 年 1 月 5 日 03:26
 幅広いハードウエアに2つの脆弱性が見つかったとの指摘を受けて、ハイテク大手が対応に追われている。指摘したサイバー防衛の専門家は、世界に存在するコンピューターデバイスのほとんどが影響を受ける恐れがあると警告している。

 ハイテクメーカーや研究者はこの脆弱性について、現代の半導体の大半に長らく存在していた設計上の欠陥だと説明する。
これらは「スペクター」、「メルトダウン」と呼ばれるバグで、パソコン(PC)やタブレット、スマートフォンなど個人のデバイスや共有サーバー・・・(略)・・・


コメント ( 0 ) | Trackback ( )