インテル製プロセッサに対する新たな「MDS」攻撃、ベンダー各社の対応状況は

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部 2019年05月15日 12時57分

  • このエントリーをはてなブックマークに追加
  • 印刷

 Intelのプロセッサに存在する一連の脆弱性が学術研究者とセキュリティ研究者のグループによって米国時間5月14日に新たに明らかにされた。

 マイクロプロセッサーの脆弱性は「Microarchitectural Data Sampling(MDS)」と総称され、4つの関連技術で構成されるという。悪用されると、本来アクセスできないはずの他のプロセスのデータが取得される可能性がある。

 同日公開された4つのMDS攻撃のうち、「Zombieload」が最も危険なものと考えられている。

  • CVE-2018-12126:Microarchitectural Store Buffer Data Sampling(MSBDS)--マイクロアーキテクチャ上のストアバッファからのデータサンプリング(コード名:「Fallout」)
  • CVE-2018-12127:Microarchitectural Load Port Data Sampling(MLPDS)--マイクロアーキテクチャ上のロードポートからのデータサンプリング
  • CVE-2018-12130:Microarchitectural Fill Buffer Data Sampling(MFBDS)--マイクロアーキテクチャ上のフィルバッファからのデータサンプリング(コード名:Zombieloadあるいは「RIDL」)
  • CVE-2018-11091:Microarchitectural Data Sampling Uncacheable Memory(MDSUM)--マイクロアーキテクチャレベルでのキャッシュ不能メモリーのデータサンプリング

 幸いなことに、Intelはこれらの脆弱性への対処に1年以上も前から取り組んできており、ハードウェアとソフトウェアの両面からパッチを提供するために、さまざまなOSベンダーやソフトウェアベンダーと協力してきている。MDS攻撃を可能な限り緩和するには、ハードウェア(IntelのCPUに搭載されているマイクロコードのアップデート)とソフトウェア(OSのセキュリティアップデート)の保護対策の双方を合わせてインストールしておく必要がある。

Intel

 Intelは米国時間5月14日、セキュリティ勧告の中で、デバイスおよびマザーボードのベンダー向けに、Intel製マイクロコードの更新プログラムをリリースしたと述べた。

 これらのマイクロコードのアップデートがユーザーのコンピュータに適用されるのがいつになるのかは不明だ。「Meltdown」や「Spectre」のときのように、MicrosoftがWindows Updateのプロセスの一環としてIntel製マイクロコードの更新プログラムを配信することになるかもしれない。

 現在のところ、Intelは影響を受けるプロセッサのリストを公開している。

Microsoft

 Intel製マイクロコードの更新プログラムがユーザーのコンピュータに届くまで、MicrosoftはMDSの4つの脆弱性に対処するOSレベルのアップデートを公開している。

 MicrosoftのMDSセキュリティアドバイザリによると、「Windows」および「Windows Server」のほか「SQL Server」データベースにもOSアップデートが提供されている。

 Microsoftはすでにクラウドインフラストラクチャにパッチを適用し、脅威を軽減する措置を講じているため、Azureクライアントはすでに保護されている。

Apple

 「macOS Mojave 10.14.5」のMDS攻撃に対する緩和策は14日にリリースされた。

 Appleは「このアップデートによって、JavaScriptを経由した、あるいは『Safari』使用時に悪意あるウェブサイトに誘導された結果引き起こされる、これら脆弱性の悪用が抑止される」と述べている。

 同社は、この修正によって「パフォーマンスに対して測定可能な影響」が発生することはないと付け加えている。

 「iOS」デバイスに搭載されているCPUがMDS攻撃に対して脆弱であるかどうかは不明であるため、現在のところ特別な緩和策は必要ない。

Linux

 エコシステムが分断化されているLinuxでは、パッチの公開に時間がかかるだろう。本記事執筆時点でフィックスを発表したディストリビューターはRed HatCanonical(Ubuntu)のみとなっている。

Google

 Googleは同日、現在のMDS攻撃によって影響を受ける自社製品それぞれの状況と影響度合いを一覧にしたヘルプページを公開した。

 そのページによると、Googleのクラウドインフラは既に、Azureと同様の適切な保護を受け取っているという。「Google Cloud Platform」の顧客によっては一部の設定を再確認する必要があるものの、「G Suite」と「Google Apps」の顧客は何らの対処も必要ない。

 「Chrome OS」では、「Chrome OS 74」およびそれ以降のバージョンのハイパースレッディングが無効化されている。Googleは、これによりMDS攻撃から保護されると述べている。

 「Android」ユーザーは影響を受けない。また同社は、OSレベルの緩和策によって「Google Chrome」ブラウザーのユーザーも保護されると述べている。

Amazon Web Services(AWS)

 GoogleやMicrosoftと同様、AWSも既に、ユーザーに代わって同社のクラウドサーバーへのパッチと緩和策の適用を済ませていると述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]