CPUに影響する3つの「Meltdown」および「Spectre」脆弱性のうち、最も解決が困難な脆弱性に対処するGoogleのフィックスが功を奏したようだ。
「Retpoline」と呼ばれるこのフィックスは、2つのSpectre脆弱性の「Variant 2」(「ブランチターゲットインジェクション」と呼ばれる)に対処する。MicrosoftとGoogleはVariant 2について、修正が最も困難な投機的実行脆弱性と考えている。3つの脆弱性のうち、CPUのパフォーマンスに大きな影響を及ぼすのはVariant 2だからだ。
この脆弱性は、同一CPU上のさまざまなインスタンス間を移動するのに使われる可能性もあるので、クラウド上の仮想化環境にとって恐ろしい脅威でもある。
Variant 2を修正するほかの方法は、IntelやAMDが提供するOS/カーネルフィックスとシリコンマイクロコードの両方を適用することだが、Googleは、同社のソフトウェアベースのRetpolineフィックスの方が優れており、あまねく導入されるべきだと主張している。
Googleが2週間前に述べたところによると、Retpolineは全体的に「パフォーマンスにほとんど影響を及ぼさない」という。同社は米国時間1月11日、「Google Cloud Platform」サービスへの対策の経緯を明らかにした。
GoogleのバイスプレジデントのBen Treynor Sloss氏によると、Variant 2を修正するには、パフォーマンスを高めるCPUの投機的実行機能を無効化するしかないようであり、それはクラウドアプリケーションの低速化につながるだろう、と数カ月の間は考えられていたという。
GoogleはSpectre脆弱性の「Variant 1」、Meltdownとして知られる「Variant 3」へのパッチ適用を2017年9月までに済ませており、Variant 2へのパッチ適用も12月に完了した。最初の2つのフィックスは、Google Cloud Platformや「Gmail」「Search」「Drive」などのサービスに「認識できる影響」を及ぼさなかったとしている。
Intelは、同社のMeltdownとSpectreのフィックスがCPUパフォーマンスに大きな影響を及ぼすとする報道を当初否定していたが、11日、「特定のワークロードやプラットフォーム設定、緩和策によって、パフォーマンスにさまざまな影響が及ぶ」と認めた。
Sloss氏は11日の投稿で次のように述べている。「Retpolineに基づく保護は、現行のハードウェアでのVariant 2対策として、最もパフォーマンスの高いものだと確信している。Retpolineは、Googleのあらゆるプラットフォームにおいて顧客パフォーマンスに影響を及ぼすことなく、Variant 2からの完全な保護を提供する」
提供:Google
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
