こぼねみ

iPhone/iPad/Android/Windows/Macなどの最新情報をお届け

スポンサーリンク

トップ > Intel/AMD/ARMなどのCPUに深刻な脆弱性 各報道をチェック【更新:Apple/Microsoftの対応状況】

Intel/AMD/ARMなどのCPUに深刻な脆弱性 各報道をチェック【更新:Apple/Microsoftの対応状況】

Intel、AMD、ARMなどのCPUに深刻な脆弱性に関する報道をチェックしてみました。

脆弱性の内容

この脆弱性は「Meltdown」と「Spectre Attacks: Exploiting Speculative Execution」という投機的実行の脆弱性を攻撃する手法に関する論文を紹介する報道で広く知られることになった。報道では当初「IntelのCPUに脆弱性」と報じられたが、1月3日 (現地時間)にIntelが「Intel responds to security research findings」という声明を公開し、脆弱性をIntel製品のバグとした報道の誤りを指摘した。脆弱性は投機的実行を採用するモダンCPUの問題であり、AMDやARMなどのプロセッサも影響を受ける。
Intel、AMD、ARMなどのCPUに深刻な脆弱性、影響を巡る報道で混乱広がる | マイナビニュース

この不具合が存在する場合、パスワードなどメモリー内に格納されている機密性の高いデータの読み取りを攻撃主に許してしまう可能性もある。不具合の特定に尽力したオーストリア・グラーツ大学の研究者は、実際に攻撃を実行するのは難しいのではないかとの見方を示しつつも、数十億の機器が影響を受けていると指摘した。
不具合は2種類で、名称はそれぞれ「メルトダウン」と「スペクター」。研究者によれば、スペクターにはパソコンやスマートフォンなど、ほぼあらゆる処理システムが影響を受けている。メルトダウンの方はインテル製のチップに特有の不具合とみられるという。
CNN.co.jp : 情報処理チップに不具合か、数十億の機器に影響の恐れ


 

脆弱性公開の経緯

昨年にGoogleのProject Zeroチームが発見してIntel、AMD、ARMなど関連する企業に報告しており、1月9日に情報を公表する予定だった。ところが、(英メディア「ザ・レジスター」の)報道をきっかけに情報や憶測が錯綜したため、同チームが収集した情報を「Reading privileged memory with a side-channel」という記事にまとめて3日にブログで公開した。Amazonによると、問題の脆弱性は20年以上も前から存在していた。
マイナビニュース

 

脆弱性の範囲、解決方法と速度低下について

脆弱性の影響はデスクトップPC/ノートPC、クラウドサーバー、モバイルデバイスなど広範に及び、問題解決にはファームウエアとOSのアップデート、利用環境によってはセキュリティツールなどのアップデートも必要になる。
マイナビニュース

この問題はOSがコンピューターのCPUを使う方法をちょっと変えてやれば解決できる。問題を解決するためにWindowsやLinuxベースのOSの更新プログラムがまもなく配布されるはずなので、こうしたプログラムを適用すればカーネル・メモリーへのアクセスを防げる。
だが、ザ・レジスターはそうしたソフトウェアのアップデートによって、コンピューターの処理速度が5%から30%遅くなる可能性があるという。セキュリティの専門家、ダン・カミンスキー氏は30%というのは最悪の場合だとアクシオス(Axios)に述べた。
MIT Tech Review: インテルCPUに深刻な脆弱性、アップデートで処理速度は大幅低下か

インテルは更新に伴う動作速度低下の指摘についても、3日午後に開いた投資家向けの電話会見で「平均的な利用では目立って感じることはない」(スティーブ・スミス副社長)と説明した。
インテル半導体に欠陥? 報道で株価急落  :日本経済新聞

 

各社の対応状況

インテルは、問題の迅速な解決に向けて同業のAMDやARM、ソフトウエア各社と協力し、業界を挙げて対応に当たっていると説明している。
CPUに脆弱性発見、機密データ漏えいの恐れ 業界全体で対応 :AFPBB News

「Windows」「macOS」、Linux向けに、既にこれらの脆弱性のパッチが開発されている。Googleも自社システムへのパッチ提供を急いでいる。
 「Android」向けの対策は米国時間1月5日のパッチに含まれている。またLinuxの修正のため、今後もアップデートがリリースされる予定だ。しかし、多くのAndroidベンダーが自社のデバイス向けのセキュリティアップデートの提供をしない、またはなかなかそれを実行しないことを考えると、Androidユーザーの多くは、新しいスマートフォンを購入するまで、無防備な状態のまま放置される可能性が高い。
インテル、ARM、AMDなど多数のCPUに脆弱性--各社が対応急ぐ - (page 2) - ZDNet Japan

マイクロソフトはインテル製などの半導体を搭載する機器のユーザーを保護するセキュリティー更新プログラムを公開すると発表。この問題はインテルとAMD、アーム製半導体に影響すると指摘したグーグルは、サイバー攻撃を受けないよう同社システムと製品の大半を更新したと説明した。業界トップのクラウド部門アマゾン・ウェブ・サービス(AWS)を有するアマゾン・ドット・コムは影響を受けるサーバーのほとんどに既に安全対策を講じたことを明らかにした。
アップルに対し、今回の半導体問題が同社のOSにどのような影響を与えているのかコメントを求めたが、現時点で返答はない。
インテルやMS、グーグルが半導体の脆弱性に対処-アマゾンも - Bloomberg

なお、問題が公になる前からインテルはマイクロソフトやLinuxカーネル開発者らに情報を共有しており、すでにWindows 10やLinuxにはこの問題に関連するパッチが提供され始めています。一方、OSカーネルに詳しい専門家のAlex Ionescu氏によると、アップルは12月6日に公開されたmacOS 10.13.2ですでにこの問題への対応を開始しており、macOS 10.13.3でさらに修正を加えるとされます。
インテルやARM、AMDのCPUに脆弱性、機密情報が漏れる可能性。PCやスマホのアップデートを推奨 - Engadget 日本版

 

Appleの対応状況【更新】

アップルはウェブサイトに掲載した発表文書(※)で、すべてのマックと基本ソフト(OS)「iOS」を搭載した端末が2件の欠陥に影響を受けているが、最新のOSアップデートによってマックやアイフォーンなどの利用者はメルトダウンによる攻撃を防げると説明。
ただ、マックとiOS端末はスペクターを通じた攻撃に対して脆弱であるため、数日内にサファリ向けのパッチを配布するとした。
About speculative execution vulnerabilities in ARM-based and Intel CPUs - Apple サポート
米アップルがアイフォーン向け修正ソフト配布へ、半導体欠陥に対応 Reuters

Apple製品に関連するその他の報道。
ニュース - iPhoneやFirefoxでもCPU脆弱性問題、更新版の提供始まる:ITpro
【セキュリティ ニュース】「Meltdown」「Spectre」の影響、MacやiOSデバイスにも - 一部は修正済み:Security NEXT
プロセッサの脆弱性は全てのMacとiOS機器に影響--アップル、対策を公表 - ZDNet Japan
悪用可能なCPUの脆弱性、全てのMacとiOS機器に影響 - Appleが情報を公開 | マイナビニュース
Apple曰く、メルトダウンとスペクター問題は「全MacシステムとiOSデバイス」に影響を与えるが長くは続かない | TechCrunch Japan

追記:Appleは残るSpectre向けの修正を含むMacおよびiOSデバイス向けのセキュリティアップデートをリリースしました。
Apple、CPU脆弱性Spectreを修正したmacOS High Sierra 10.13.2追加アップデートおよびSafari 11.0.2をリリース - こぼねみ
iOS11.2.2が配信開始 CPU脆弱性Spectreの修正 - こぼねみ 
 

Microsoftの対応状況【更新】

本脆弱性を根本的に解決するためにはハードウェアの交換が必要となるが、修正プログラムの導入により攻撃のリスクを低減させることはできるようだ。Windowsでは以下のセキュリティ更新プログラムが提供されており、現在“Windows Update”などから入手できる。

  • Windows 10 バージョン 1709(KB4056892)
  • Windows 10 バージョン 1703(KB4056891)
  • Windows 10 バージョン 1607, Windows Server 2016(KB4056890)
  • Windows 8.1, Windows Server 2012 R2(KB4056898)
  • Windows 7、Windows Server 2008 R2(KB4056897)

 ただし、本更新プログラムは一部のウイルス対策ソフトと互換性がないので注意。最悪の場合、ブルースクリーン(BSoD)エラーが発生し、Windowsが起動できなくなる恐れがある。
“投機的実行”機能を備えるCPUに脆弱性、Windows向けのセキュリティパッチが緊急公開 - 窓の杜

更新2018年1月10日

Microsoftはより広範なPCについてコメントしている。

  • 第6世代Core (Skylake)や第7世代Core (Kabylake)以降のCPUを搭載した2016年頃以降のWindows 10 PC:パフォーマンスの低下は一桁台、ミリ秒の違いであり、ほとんどのユーザーが変化に気づかない。
  • 第4世代Core (Haswell)またはそれ以前のCPUを搭載した2015年頃のWindows 10 PC:いくつかのベンチマークテストでは低下率が大きく、一部のユーザーがパフォーマンスの低下を感じる。
  • 第4世代Core (Haswell)またはそれ以前のCPUを搭載した2015年頃のWindows 8/7 PC:ほとんどのユーザーがパフォーマンスの低下を覚える可能性がある。

CPU脆弱性Meltdown/Spectre対応、PC性能への影響は? - IntelとMSが続報 | マイナビニュース

 

全体像を知る

手軽にこの問題の概要を知るには次の記事が役に立つかと思います。

世間を騒がす「プロセッサ脆弱性」 何が本当の問題なのか (1/3) - ITmedia PC USER
 

まとめサイト

米Intelが発表したプロセッサの重大な脆弱性についてのまとめサイト「Meltdown and Spectre」が開設された。複数のセキュリティ研究者が発見した2つの脆弱性「Meltdown」と「Spectre」について、基本的な説明があり、技術的な情報および影響を受けるサービスや製品を提供する企業の公式サイトへのリンクなどが掲載されている。
プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設 - ITmedia NEWS

Source:
Intel Responds to Security Research Findings
Project Zero: Reading privileged memory with a side-channel
Product Status - Google ヘルプ
Google Online Security Blog: Today's CPU vulnerability: what you need to know
Meltdown and Spectre