古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

もはや「OSの自動更新」だけでは守れない? 「Meltdown」と「Spectre」のベストな対策は

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2018/01/10 11:40
もはや「OSの自動更新」だけでは守れない? 「Meltdown」と「Spectre」のベストな対策は: プロセッサ脆弱性「Meltdown」と「Spectre」のロゴ © ITmedia エンタープライズ 提供 プロセッサ脆弱性「Meltdown」と「Spectre」のロゴ

 新年早々、また頭の痛いニュースが飛び込んできました。Intel製のCPUに内在する問題が、“情報”の盗聴につながるリスクをはらんでいるというのです。この、「Meltdown」と「Spectre」と名付けられた脆弱性が今、世間を騒がせています。

・プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設

 ……とはいえ、この「Meltdown」と「Spectre」は、これまでの脆弱性に比べて内容が高度で説明が難しく、本稿執筆時点では上記記事からリンクされた英語の論文を読み解く必要があります。

 ざっくりと説明すると、今回の脆弱性はCPUの「投機的実行」を悪用しています。

 CPUは高速化のための条件分岐が行われる前に、そのあとの処理を前もって行うことがあります。例えばこれは、上司の承認が出ようが出まいが、「承認されたときの後処理」と、「承認されなかったときの後処理」を“承認前に先にやっておく”――というイメージです。どちらかの処理は無駄になってしまいますが、それでも全体を見れば高速化に寄与するのです。モダンなCPUで行われるこのような処理を投機的実行と呼んでいます。

 それを悪用したのが「Meltdown」と「Spectre」。投機的実行の中でメモリ内にある情報を盗み見ることで、セキュリティ境界によって本来、アクセスできなかった情報を詐取できてしまう、というものです。

 既にこの対応に向けて、OS、アプリ、Webブラウザのベンダーが動き始めています。

 マイクロソフトは、この問題をOS側で修正するWindows security updatesを2018年1月3日にリリースしました。しかし、一部のマルウェア対策ソフトと競合する可能性があるため、更新プログラムを適用するにはマルウェア対策ソフト各社が製品の対応後に「Windows security updatesを有効化するレジストリのアップデート」をする必要があります。

・CPU の脆弱性「Meltdown」と「Spectre」への対応 | トレンドマイクロ セキュリティブログ

●「Meltdown」と「Spectre」のベストな対応策は

 こうした事情から、「Meltdown」と「Spectre」の脆弱性対策については、引き続き状況を注視し、都度、必要な対応がないかを確認し続ける必要があります。

 今回の脆弱性に関しては、スパッと明快な解決策を提示しにくく、個人的にも頭を抱えています。おそらく、CPUのような深い場所に対する「修正手法」と、そのような場所に対する「攻撃手法」が紙一重であるため、修正がとても難しい――という事情があるのでしょう。

 具体的な対策としては、まず、各マルウェア対策ソフトベンダーの指示を待ち、対応アップデートが提供され次第、速やかに適用することです。そうすればWindows Updateも自動で適用されるはず。手動でレジストリをいじる必要はないでしょう(ただし、“次世代マルウェア対策ソフト”などを含め、複数のマルウェア対策ソフトを同時に使っている企業は注意が必要かもしれません)。

 ここ最近、このような「致命的に見える脆弱性」が増えてきたように思います。今回の脆弱性も、確かに大きな問題ではありますが、本稿執筆時点では攻撃コードがインターネット上にはびこっているわけでもないので、個人的には「慌てず騒がず静観する」という対応でもいいと思うのです。

 ただ、クラウドサービスなどでは影響を無視できないので、関連サービスが提供する情報を確認することをおすすめします。

・Processor Speculative Execution Research Disclosure

・Securing Azure customers from CPU vulnerability | ブログ | Microsoft Azure

・Product Status - Google ヘルプ

・【重要】MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について|さくらインターネット

 いつもなら脆弱性対策として、「OSを最新のものにアップデートすれば大丈夫です」とお話ししていますが、今回のケースは、“簡単なアップデートだけでは難しい問題が出てきてしまった”という印象です。

 できれば「脆弱性が発見されたとしても、通常のセキュリティアップデートが自動で更新され続け、特に意識しなくてもその時点で最善の安全が手に入る」という状態が望ましいのですが、そうなるまでは利用者が冷静に学び、理想に足りない部分を人が補うことで対応するしかないようです。

●著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon