インテル製プロセッサに対する新たな「MDS」攻撃、ベンダー各社の対応状況は

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部

2019-05-15 12:57

 Intelのプロセッサに存在する一連の脆弱性が学術研究者とセキュリティ研究者のグループによって米国時間5月14日に新たに明らかにされた。

 マイクロプロセッサーの脆弱性は「Microarchitectural Data Sampling(MDS)」と総称され、4つの関連技術で構成されるという。悪用されると、本来アクセスできないはずの他のプロセスのデータが取得される可能性がある。

 同日公開された4つのMDS攻撃のうち、「Zombieload」が最も危険なものと考えられている。

  • CVE-2018-12126:Microarchitectural Store Buffer Data Sampling(MSBDS)--マイクロアーキテクチャ上のストアバッファからのデータサンプリング(コード名:「Fallout」)
  • CVE-2018-12127:Microarchitectural Load Port Data Sampling(MLPDS)--マイクロアーキテクチャ上のロードポートからのデータサンプリング
  • CVE-2018-12130:Microarchitectural Fill Buffer Data Sampling(MFBDS)--マイクロアーキテクチャ上のフィルバッファからのデータサンプリング(コード名:Zombieloadあるいは「RIDL」)
  • CVE-2018-11091:Microarchitectural Data Sampling Uncacheable Memory(MDSUM)--マイクロアーキテクチャレベルでのキャッシュ不能メモリーのデータサンプリング

 幸いなことに、Intelはこれらの脆弱性への対処に1年以上も前から取り組んできており、ハードウェアとソフトウェアの両面からパッチを提供するために、さまざまなOSベンダーやソフトウェアベンダーと協力してきている。MDS攻撃を可能な限り緩和するには、ハードウェア(IntelのCPUに搭載されているマイクロコードのアップデート)とソフトウェア(OSのセキュリティアップデート)の保護対策の双方を合わせてインストールしておく必要がある。

Intel

 Intelは米国時間5月14日、セキュリティ勧告の中で、デバイスおよびマザーボードのベンダー向けに、Intel製マイクロコードの更新プログラムをリリースしたと述べた。

 これらのマイクロコードのアップデートがユーザーのコンピュータに適用されるのがいつになるのかは不明だ。「Meltdown」や「Spectre」のときのように、MicrosoftがWindows Updateのプロセスの一環としてIntel製マイクロコードの更新プログラムを配信することになるかもしれない。

 現在のところ、Intelは影響を受けるプロセッサのリストを公開している。

Microsoft

 Intel製マイクロコードの更新プログラムがユーザーのコンピュータに届くまで、MicrosoftはMDSの4つの脆弱性に対処するOSレベルのアップデートを公開している。

 MicrosoftのMDSセキュリティアドバイザリによると、「Windows」および「Windows Server」のほか「SQL Server」データベースにもOSアップデートが提供されている。

 Microsoftはすでにクラウドインフラストラクチャにパッチを適用し、脅威を軽減する措置を講じているため、Azureクライアントはすでに保護されている。

Apple

 「macOS Mojave 10.14.5」のMDS攻撃に対する緩和策は14日にリリースされた。

 Appleは「このアップデートによって、JavaScriptを経由した、あるいは『Safari』使用時に悪意あるウェブサイトに誘導された結果引き起こされる、これら脆弱性の悪用が抑止される」と述べている。

 同社は、この修正によって「パフォーマンスに対して測定可能な影響」が発生することはないと付け加えている。

 「iOS」デバイスに搭載されているCPUがMDS攻撃に対して脆弱であるかどうかは不明であるため、現在のところ特別な緩和策は必要ない。

Linux

 エコシステムが分断化されているLinuxでは、パッチの公開に時間がかかるだろう。本記事執筆時点でフィックスを発表したディストリビューターはRed HatCanonical(Ubuntu)のみとなっている。

Google

 Googleは同日、現在のMDS攻撃によって影響を受ける自社製品それぞれの状況と影響度合いを一覧にしたヘルプページを公開した。

 そのページによると、Googleのクラウドインフラは既に、Azureと同様の適切な保護を受け取っているという。「Google Cloud Platform」の顧客によっては一部の設定を再確認する必要があるものの、「G Suite」と「Google Apps」の顧客は何らの対処も必要ない。

 「Chrome OS」では、「Chrome OS 74」およびそれ以降のバージョンのハイパースレッディングが無効化されている。Googleは、これによりMDS攻撃から保護されると述べている。

 「Android」ユーザーは影響を受けない。また同社は、OSレベルの緩和策によって「Google Chrome」ブラウザーのユーザーも保護されると述べている。

Amazon Web Services(AWS)

 GoogleやMicrosoftと同様、AWSも既に、ユーザーに代わって同社のクラウドサーバーへのパッチと緩和策の適用を済ませていると述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]