Intelのプロセッサに存在する一連の脆弱性が学術研究者とセキュリティ研究者のグループによって米国時間5月14日に新たに明らかにされた。
マイクロプロセッサーの脆弱性は「Microarchitectural Data Sampling(MDS)」と総称され、4つの関連技術で構成されるという。悪用されると、本来アクセスできないはずの他のプロセスのデータが取得される可能性がある。
同日公開された4つのMDS攻撃のうち、「Zombieload」が最も危険なものと考えられている。
- CVE-2018-12126:Microarchitectural Store Buffer Data Sampling(MSBDS)--マイクロアーキテクチャ上のストアバッファからのデータサンプリング(コード名:「Fallout」)
- CVE-2018-12127:Microarchitectural Load Port Data Sampling(MLPDS)--マイクロアーキテクチャ上のロードポートからのデータサンプリング
- CVE-2018-12130:Microarchitectural Fill Buffer Data Sampling(MFBDS)--マイクロアーキテクチャ上のフィルバッファからのデータサンプリング(コード名:Zombieloadあるいは「RIDL」)
- CVE-2018-11091:Microarchitectural Data Sampling Uncacheable Memory(MDSUM)--マイクロアーキテクチャレベルでのキャッシュ不能メモリーのデータサンプリング
幸いなことに、Intelはこれらの脆弱性への対処に1年以上も前から取り組んできており、ハードウェアとソフトウェアの両面からパッチを提供するために、さまざまなOSベンダーやソフトウェアベンダーと協力してきている。MDS攻撃を可能な限り緩和するには、ハードウェア(IntelのCPUに搭載されているマイクロコードのアップデート)とソフトウェア(OSのセキュリティアップデート)の保護対策の双方を合わせてインストールしておく必要がある。
Intel
Intelは米国時間5月14日、セキュリティ勧告の中で、デバイスおよびマザーボードのベンダー向けに、Intel製マイクロコードの更新プログラムをリリースしたと述べた。
これらのマイクロコードのアップデートがユーザーのコンピュータに適用されるのがいつになるのかは不明だ。「Meltdown」や「Spectre」のときのように、MicrosoftがWindows Updateのプロセスの一環としてIntel製マイクロコードの更新プログラムを配信することになるかもしれない。
現在のところ、Intelは影響を受けるプロセッサのリストを公開している。
Microsoft
Intel製マイクロコードの更新プログラムがユーザーのコンピュータに届くまで、MicrosoftはMDSの4つの脆弱性に対処するOSレベルのアップデートを公開している。
MicrosoftのMDSセキュリティアドバイザリによると、「Windows」および「Windows Server」のほか「SQL Server」データベースにもOSアップデートが提供されている。
Microsoftはすでにクラウドインフラストラクチャにパッチを適用し、脅威を軽減する措置を講じているため、Azureクライアントはすでに保護されている。
Apple
「macOS Mojave 10.14.5」のMDS攻撃に対する緩和策は14日にリリースされた。
Appleは「このアップデートによって、JavaScriptを経由した、あるいは『Safari』使用時に悪意あるウェブサイトに誘導された結果引き起こされる、これら脆弱性の悪用が抑止される」と述べている。
同社は、この修正によって「パフォーマンスに対して測定可能な影響」が発生することはないと付け加えている。
「iOS」デバイスに搭載されているCPUがMDS攻撃に対して脆弱であるかどうかは不明であるため、現在のところ特別な緩和策は必要ない。
Linux
エコシステムが分断化されているLinuxでは、パッチの公開に時間がかかるだろう。本記事執筆時点でフィックスを発表したディストリビューターはRed HatとCanonical(Ubuntu)のみとなっている。
Googleは同日、現在のMDS攻撃によって影響を受ける自社製品それぞれの状況と影響度合いを一覧にしたヘルプページを公開した。
そのページによると、Googleのクラウドインフラは既に、Azureと同様の適切な保護を受け取っているという。「Google Cloud Platform」の顧客によっては一部の設定を再確認する必要があるものの、「G Suite」と「Google Apps」の顧客は何らの対処も必要ない。
「Chrome OS」では、「Chrome OS 74」およびそれ以降のバージョンのハイパースレッディングが無効化されている。Googleは、これによりMDS攻撃から保護されると述べている。
「Android」ユーザーは影響を受けない。また同社は、OSレベルの緩和策によって「Google Chrome」ブラウザーのユーザーも保護されると述べている。
Amazon Web Services(AWS)
GoogleやMicrosoftと同様、AWSも既に、ユーザーに代わって同社のクラウドサーバーへのパッチと緩和策の適用を済ませていると述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。