編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

インテルCPUに脆弱性、「LVI」攻撃について研究者が明らかに

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2020-03-11 15:31

 米国時間3月10日、世界中の大学の研究者からなるチームと、Bitdefenderの脆弱性研究者が、Intelのプロセッサーに存在する新たなセキュリティホールに関する情報を公開した。

LVI

 この新たに発見された理論上の攻撃は、「Load Value Injection(LVI)」攻撃と呼ばれるものだ。

 今のところ、この攻撃は理論上の脅威にすぎないとみられているが、Intelは現在出回っているCPUに対する攻撃を緩和するファームウェアアップデートを公開している。また同社は、将来の世代の製品では、ハードウェアレベルで問題を修正する。

Meltdown攻撃の逆の攻撃

 LVI攻撃を理解するためには、まず「Meltdown」攻撃と「Spectre」攻撃を理解する必要がある。特にMeltdown攻撃だ。

 2018年1月に一般に情報が開示されたMeltdown攻撃は、あるCPUでコードを実行している攻撃者が、CPUが「投機的」なオペレーションを実行している際に、そのCPUのメモリーからデータを読み出すことができるというものだ。

 「投機的実行」は、最近のすべてCPUが備えている機能で、CPUが将来行う可能性がある処理の結果をあらかじめ予測する。この機能は、CPUが将来必要とする可能性があるデータをあらかじめ用意しておけば、CPUの処理速度とパフォーマンスを改善できるという考え方に基づくものだ。用意されたデータは、もし必要なければ破棄される。Meltdown攻撃とSpectre攻撃では、この「一時的(transient)」な状態にあるデータを読み取る。

 これらの攻撃手法をもとに世界中の研究者が研究を進め、「transient attack」と呼ばれる種類の攻撃を発見した。これらの攻撃も、やはり投機的実行を行う際の「一時的」な状態にあるCPUからデータを読み取るものだ。

既知の攻撃の分類
既知のサイドチャネル攻撃やtransient-execution攻撃の分類

 一方、LVI攻撃は、技術的な位置づけとしてはMeltdown攻撃とは逆の位置にある。Meltdown攻撃は、CPUのメモリ中にあるアプリケーションのデータを読み取ることを可能にするものだったが、LVI攻撃は、CPUにコードを注入し、一時的なオペレーションとして実行させることで、攻撃者がCPUの挙動をコントロールすることを可能にする。LVIのサイトでは、データを被害者から攻撃者へ直接流すのではなく、研究者らは、攻撃者のデータを、隠れたプロセッサーバッファーを通して被害者のプログラムに注入し、一時的な実行をハイジャックして、被害者の指紋やパスワードなどの機密情報を取得すると説明されている。

LVI攻撃の手順

 学術機関の研究チームはIntel SGXのエンクレーブからの流出データにフォーカスしており、Bitdefenderは攻撃のクラウド環境などへの影響について注目している。

 Bitdefenderの研究チームらは、LVI攻撃にはハードウェアの修正が必要だと述べている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]