インテルのプロセッサに新たな脆弱性「Foreshadow」--仮想化環境に対する大きな脅威

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 編集部 2018年08月15日 10時30分

  • このエントリーをはてなブックマークに追加

 Intelのプロセッサに、深刻な脆弱性「Foreshadow」が新たに発見された。

 この問題を発見した研究者らによれば、「ForeshadowはIntel製プロセッサに対する投機的実行を利用した攻撃で、これを利用することで、攻撃者がパソコンやサードパーティーのクラウド内に保管している機密情報を盗むことが可能になる。Foreshadowには2つのバージョンが存在し、最初に発見された攻撃は、Software Guard Extensions(SGX)エンクレーブからデータを抽出するよう設計されており、次世代バージョンは仮想マシン(VM)やハイパーバイザ(VMM)、オペレーティングシステム(OS)のカーネルメモリ、System Management Mode(SMM)のメモリに影響がある」という。

 この脆弱性はかなり深刻なものだ。Intelは、Foreshadowの脆弱性によって、次のような問題が発生する可能性があると認めている

  • 悪質なアプリケーションが、OSのメモリ内にあるデータや、ほかのアプリケーションのデータを推測できる可能性がある。
  • 悪質なゲストVMが、VMのメモリ内にあるデータや、ほかのゲストVMのメモリ内にあるデータを推測できる可能性がある。
  • SMMの外部で実行されている悪質なソフトウェアが、SMMのメモリ内のデータを推測できる可能性がある。
  • IntelのSGXエンクレーブの外部、あるいはエンクレーブの内部で実行されている悪質なソフトウェアが、別のSGXエンクレーブ内のデータを推測できる可能性がある。
    •  Red HatのARMコンピュータアーキテクトJon Masters氏は、Foreshadowは「仮想化環境に対する大きな脅威であり、特に、信頼する仮想マシンと信頼しない仮想マシンが混在する環境では問題になる」と述べている。

       Intelに情報が伝えられたのは2018年1月3日のことだ。その後同社は、この攻撃と密接に関連する2種類の亜種である「Foreshadow-Next Generation」を発見した。Intelは、このまったく新しいタイプの投機的実行を利用したサイドチャネルの脆弱性を、「L1 Terminal Fault」(L1TF)と呼んでいる。

       幸い、Intelのバイスプレジデント兼製品保証およびセキュリティ担当ジェネラルマネージャーLeslie Culbertson氏は、「まず最初に緩和策についての質問に答えておきたい。今年既にリリースされたマイクロコードのアップデート(MCU)は、L1TFの3つの悪用方法に対する緩和策の重要なコンポーネントだ」と述べている。

       しかしこれは大きな問題であり、マイクロコードのアップデートだけでは十分な解決にはならない。安全を確保するには、OSとVMのハイパーバイザもアップデートする必要がある。対策パッチはすでにほとんどのOSに提供されている。

       Intelは、これらのパッチによる性能の低下は「おおむね」見られないはずだと主張している。しかし、パッチ済みのプラットフォーム上で、フィックスを適用していないVMを稼働している場合は、性能の低下がみられるそうだ。

       もう1つのよいニュースは、今のところ、この脆弱性を利用した攻撃は出回っていないと見られることだ。

       ただしIntelは、これらの問題を根本的に解決するには、プロセッサを最新のものと交換する必要があると認めている。「これらの修正は、次世代の『Intel Xeon Scalable』プロセッサ(コードネームCascade Lake)や、2018年中に発売が予定されている新型のクライアント用プロセッサから適用される」と同社は述べている。

       当面は、常に最新のパッチを適用しながら、セキュリティとパフォーマンスのバランスに注意していく必要がある。

      この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]