INTEL001
 昨年の12月から少々話題となっていたCPUの脆弱性の問題ですが、ここにきて新年早々大きな話題となっています。その問題は「メルトダウン」と「スペクター」と呼ばれる問題で、この問題についてはすべてのOSとデバイスが影響を受けます。
 今回問題となっているCPUの脆弱性の問題はどんな問題か説明していきたいと思います。
CPU002

 今回問題となっている脆弱性はすべてのデバイスの演算の中心部分である「CPU」の脆弱性であり、このCPUの深いレベルに位置する部分にアクセスすることができ、そこから重要な情報を盗むことが出来るという問題になります。

 この問題については現在のコンピュータ・アーキテクチャー(コンピュータの基本的な構造)の本質的な欠陥であり、今までのOSの脆弱性とは違い、修正のプログラムを充てるだけで解決するといった簡単な問題ではありません。このアーキテクチャーを根本的に変えない限りは完全な問題解決にはならないのです。

CPU003

 現在のCPUのアーキテクチャーはデータを処理する際に、暗号化されないで処理する部分が存在します。その部分はみなさんが聞いたことがある「カーネル」と呼ばれる部分です。この「カーネル」の部分は機密性を守るため、CPUの処理以外はアクセスを行うことが出来ないようになっています。その他にもデータを一時的に格納するメモリ領域の中にもCPU以外がアクセス出来ない領域があり、他ののアプリケーションやプロセスなどからアクセスできないように厳重に保護され、外部からの機密を守っています。


MELTSPEC

 今回発見なった「メルトダウン」と「スペクター」と呼ばれる問題で、この名前は攻撃の方法の名前であります。今回発見なった問題の共通点はCPUが行っているデータ保護機能を回避し、すべてのデータ領域にアクセスが可能になるということです。つまりパスワード含めすべての重要なデータすべてハッキング出来てしまうということです。

 まず、問題の一つである「メルトダウン」ですが、Intel CPUの弱点を使った攻撃方法で、カーネル・メモリー中のデータを保護する機能を迂回してデータへのアクセスを可能にすることが出来ます。

 もう一方の「スペクター」はすべてのCPUに影響を及ぼし、OS上のアプリケーションなどにちょっとした巧妙な罠を仕掛けます。この罠によって、アプリケーション間に設けられている障壁を取り除くことができ、そのアプリケーションを使って、本来アクセス不可能な領域にアクセスすることができ、情報を盗み出すことが出来ます。この「スペクター」についてはパソコンやサーバーのみならず、スマホやタブレットなどの端末、テレビなどのIoT機器などCPUを使用しているあらゆるすべての機器が対象となります。

INTEL001


 今回のこの2つの脆弱性については、1995年以降に製造されたすべてのCPUが影響を受けていることになります。また、CPUアーキテクチャーの問題のため、WindowsやOS XなどのOSは関係なく、すべのデバイスや組み込みデバイス、IoT機器が対象となります。
 
 今回の問題についての対策方法があるのかという点についてですが、完全とまではいきませんが、かなりのレベルまでの対策は行えるよです。ただし、その対策をするまでには少々時間が必要になるということです。

 この問題が話題となり、各社CPUメーカーや各OSは対策を現在行っています。本日以降のファームェアの更新やOSの更新はこれらの問題を最重要と置いて配信されていきますので、ユーザーは必ずアップデートを行うようにしてください。特にWindowsのユーザーは今月1月4日にIntel 他複数のメーカー製CPUに影響する脆弱性「Meltdown」と「Spectre」の問題で、Microsoftから脆弱性の影響を緩和するセキュリティ更新プログラムが緊急公開されております。必ずこのパッチを適用するようにしましょう。