はっきり言います。2つの新たなコンピュータ脆弱性、メルトダウンとスペクターには、悪いニュースと良いニュースがあります。悪いニュースは、これらの欠陥が深刻かつ複雑で、業界全体に広範な影響を及ぼすということです。良いニュースは、スマートフォンやコンピュータの一般的なユーザーであるあなたがすべきことは、デバイスで動作しているソフトウェアが最新であることを確認することだけです。
これらの脆弱性は、デバイスを動かすプロセッサの設計そのものに根ざしているため、セキュリティ専門家にとって懸念材料となっています。Windowsの旧バージョンなど、特定のOSに紐づくセキュリティ問題とは異なり、これらの脆弱性は特定のOSに紐付けられるものではありません。また、AmazonやGoogleといった大企業が運営するサーバーにも影響を及ぼし、これらのサーバーの動作にはプロセッサが不可欠です。
「CPUに根本的な脆弱性が存在するという考えは、想像し得る限り最も恐ろしいことの一つでしょう。なぜなら、それが多くのシステムを脆弱にしてしまうからです」と、Shape SecurityのCTOであり、かつてGoogleでクリック詐欺に注力していたプロダクトマネージャー、シュマン・ゴセマジュンダー氏は語る。「ある意味、これまでこれほどの事例に遭遇したことがなかったのは驚くべきことです。しかし、これらの脆弱性は実際には何年も前からCPU内に存在していたのです。」
それでそれらは何ですか?
これらのセキュリティ上の脆弱性がどこから生じているのかを理解するには、チップが使用する「投機的実行」と呼ばれるプロセスについて知っておくと役立ちます。投機的実行は一般的に良いもので、プロセッサの効率的な動作に役立ちます。簡単に言うと、プロセッサは計算中に次に何が来るかを推測し、その推測が正しく、その作業が役に立つ可能性が高い場合に備えて、先手を打つための作業を事前に行います。これは、上司からほぼ毎週水曜日に提出を求められているレポートを作成するなど、後で必ず必要になると確信している作業を空き時間に行うようなものだと考えてみてください。
「投機的実行という考え方自体に、本質的に間違っているとか、安全でないという点はありません。問題は、それがどのように実装されるかということです」と Ghosemajumder 氏は言います。
SpectreとMeltdownはどちらも投機的実行を利用して本来実行すべきでない動作をし、Intel、AMD、ARMなどのチップに影響を与えます。Spectreはより広範な脅威と考えられています。「Spectre」という用語には2つの異なる種類の攻撃が含まれるため、実際にはこれら3つの脆弱性が存在します。
では、ハッカーはどのようにしてそれを悪用するのでしょうか?
コンピュータセキュリティ企業SentinelOneのCEO、トマー・ウェインガルテン氏は、Spectreとは、あるプログラム(例えばウェブブラウザ)が侵害され、Microsoft Wordのような別のプログラムの動作を覗き見される脆弱性だと説明しています。Meltdownは、攻撃者が本来アクセスできないはずのコンピュータのメモリ領域にアクセスできてしまう脆弱性です。ウェインガルテン氏は、Spectreの方が攻撃者にとって実際に利用しやすい可能性があると述べています。
「これらはおそらく、ここしばらくで見られた最悪の脆弱性の一部だ」と彼は言う。
それで、私は何をすべきでしょうか?
できる最も重要なことは、携帯電話やコンピューターのソフトウェアを最新の状態に保ち、電子メールによるフィッシング攻撃に常に注意するなど、標準的で常識的なセキュリティ対策を講じることです。
企業はすでにこれらの脆弱性を防御するためのソフトウェアアップデートをリリースしています。Appleは、iOSデバイスとMac向けにリリースしたソフトウェアがMeltdownとSpectreの影響をどのように軽減しているかをこちらの投稿で説明しています。Googleは、AndroidやChromeブラウザ(1月23日に重要なアップデートを予定)を含む自社サービスの状況をこちらでまとめています。また、Google Cloudのセキュリティ保護のために講じた対策についても説明しています。Microsoftは、Windowsユーザーが取るべき対策をこちらで示しています。古いAMDプロセッサを搭載した一部のマシンの保護で問題が発生しているようです。
「誰もが、この問題をできるだけ効果的に修正しようと、かなり迅速に動いています」とゴセマジュムダー氏は言う。Chromeの場合、有効化を検討すべき高度な対策の一つは、サイト分離と呼ばれる機能だ。
これらのアップデートによってプロセッサの速度が様々な程度まで低下するのではないかという懸念はあるものの、最終的にはパッチをインストールすることが最善策です。Ghosemajumder氏が警告するように、世界中で最も脆弱なマシンは、ソフトウェアのアップデートができない、あるいはアップデートを望まないために「取り残されている」マシンであり、これらのエクスプロイトは世界中のデバイスを標的にするために利用される可能性があります。
「スペクターとメルトダウンの脆弱性は、あらゆる攻撃者の標準的なツールキットの一部となるだろう」と彼は言う。
