CPUの脆弱性 MeltdownとSpecter

LINEで送る
Pocket

2018/01/11

新年早々、世間を騒がせているのが「メルトダウン」と「スペクター」。
「炉心溶融」と「幽霊」という物騒な名前が付けられたのはCPUの脆弱性で、これらを悪用されると通常はアクセスできないメモリ領域から、パスワードなどの機密情報や画像・文書などを盗むことが可能になるらしい。

トレンドマイクロ「投機的実行に関する脆弱性「Meltdown」と「Spectre」について解説」



同時に2つの脆弱性が発表されたことで話しがややこしくなっているが、「メルトダウン」も「スペクター」もパフォーマンスを向上させるCPUの「投機的実行」のセキュリティホール。
「メルトダウン」はIntelのCPU固有の脆弱性で、標的となるPC上でプログラムを実行すると、メモリへのアクセスが可能になるらしい。ただ、メルトダウンはWindowsを更新することで対応が可能。
厄介なのが「スペクター」で、攻撃条件が複雑で実行は難しいようだが、Intel・AMD・ARMなどのCPUも影響を受け、根本的に解決するにはハードウェアの交換が必要になる。
また、「スペクター」に対する緩和策を実行すると、PCのパフォーマンスに影響があり、すでにWindowsで配信されたパッチの適用で、2015年以前のCPUでは2桁台のパフォーマンス低下が確認されている模様。

「Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems」

Windows10で2016年以降のCPUの場合は1桁台のパフォーマンス低下で、ユーザーが体感できるほどではないようだが、2015年以前のCPUを使用すると体感レベルでのパフォーマンス低下が発生。

Microsoftは緊急パッチを1月9日までに配信したものの、パッチを適用した一部のサーバでは一時的にアクセスできないなどの不具合も発生している。

「CPU脆弱性問題の影響か、佐賀県庁で一時Office365が利用できず」

影響を受けるのはWindows PCに限らず、MacやAndroid・iPhone、Chromebookなどのほか、各ブラウザも対象になっており、現状ではAndroid・iPhone、Chromebookは、最新のセキュリティアップデートを適用すれば、それなりに保護されるとアナウンスされている。

脆弱性への対策

メルトダウンはIntel固有の問題で、Windowsのパッチを適用するとなんとかなるようなので、取り敢えずIntelのCPUを使用している場合、2015年以前のCPUなら大幅なパフォーマンス低下を覚悟してパッチを適用。

市販のPCを使用している場合は、各メーカーのページで対策を確認。
自作ユーザーは使用しているマザーボードメーカーのサイトから最新のBIOSを適用。

Intelが公開しているツールを実行して、今回の脆弱性への影響を調べることもできる。

Intel-SA-00086 Detection Tool

ダウンロードページの「SA-00086 Windows zip」をクリック。

使用許諾書が表示されるので、問題なければ「I accept the terms in ~」をクリックしてZIPファイルをダウンロードし、ファイルを選択後にコンテキストメニュー(右クリックメニュー)から「すべて展開」。

解凍したフォルダ内には3つのフォルダが入っているので、「DiscoveryTool.GUI」を開いて中の実行ファイル「Intel-SA-00086-GUI」を起動。

結果が表示される。

ただ、IntelのCore i3を搭載し、Windowsの更新パッチを適用する前のノートPCでも、「このシステムに脆弱性はありません」と表示された。。。

Chromeブラウザでの対策

Googleは今回の脆弱性に対して、Chromeブラウザ(安定版)で「Site Isolation」が有効だとして、その方法を公開している。

chrome://flags/#enable-site-per-process

Chromeブラウザで上記のURLにアクセスしてページを開く。

「有効にする」をクリック。

「今すぐ再起動」をクリックするとChromeが再起動して「サイトの分離」が有効になる。

この「サイトの分離」についてはGoogleに以下の説明が掲載されている。

サイト分離を有効にすると、Chromeが別のプロセスで開いているWebサイトごとにコンテンツをレンダリングするため、投機的なサイドチャネル攻撃にさらされるデータが減少します。

ただし、2018年1月23日にリリースされるアップデートに緩和策が含まれ、以降のアップデートにも緩和策と強化対策が含まれるようなので、「サイトの分離」については保険のような感じ。

ちなみにChromeのベータ版でも「サイトの分離」は設定可能。





トピックス&コラム

ARMもHuaweiと取引停止を発表

2019/05/23 ソフトバンクグループが買収した英国「ARM」が、Googleに続きアメリカの禁輸措置に従い、Hua … “ARMもHuaweiと取引停止を発表” の続きを読む

GoogleがHuaweiへのアプリ提供を一部停止に

2019/05/20 5月14日に「安全保障上の懸念がある外国企業」としてエンティティー・リストにHuaweiなど中国企 … “GoogleがHuaweiへのアプリ提供を一部停止に” の続きを読む

DVDFab11 v11.0.2.6で無料版と枚数制限を実装

2019/04/29 DVDFab.cnは2019年4月20日に公開したDVDFab バージョン11.0.2.6で、「D … “DVDFab11 v11.0.2.6で無料版と枚数制限を実装” の続きを読む

Amazon Mastercard ゴールドはAmazon primeの値上がりは関係ないらしい。

2019/04/25 Amazonが4月12日にAmazonプライムの会費を値上げした。 値上げ額は月額なら100円、年 … “Amazon Mastercard ゴールドはAmazon primeの値上がりは関係ないらしい。” の続きを読む

出店者の楽天市場への不満が明らかに

2019/04/19 公正取引委員会が実施した「デジタル・プラットフォーマーの取引慣行等に関する実態調査」の中間報告が発 … “出店者の楽天市場への不満が明らかに” の続きを読む

(adsbygoogle = window.adsbygoogle || []).push({});





LINEで送る
Pocket