2018年1月3日、全世界的なニュースとなる脆弱性情報がGoogleより「Today's CPU vulnerability: what you need to know」として公開された。JVNでは、「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」と題されている。
記事の目次
概要
この脆弱性は、CPUの「投機的実行機能」の問題で、ハードウェア(CPU)の脆弱性であり、対応策はOSやアプリケーションの修正によるものとなっている。脆弱性のキーワードは、「Meltdown」と「Spectre」で、詳細情報は以下のリンク先となっている。
- Google Project Zero のブログ記事("Reading privileged memory with a side-channel")
- Graz University of Technology (TU Graz) の研究者による情報("Meltdown and Spectre")
影響範囲
影響範囲は、インテル製のCPUということになっているが、基本的に他のCPUも投機的実行機能を持っているはずなので、各CPUベンダーの情報を確認する必要がある。
リスクは、情報が盗み見られてしまう可能性があるとのこと。パスワードを盗み見るデモが紹介されており、放置はできなさそうな感じである。
CVSS v3での評価値は、当初は2.5の注意(2018/1/5時点)と高くなかったが4.7(2018/1/13時点)に上昇し、対象となるシステムに対するパッチ適用は避けられなさそうである。
一次対応
この脆弱性は、主としてこの脆弱性を狙ったマルウェアがインストールされた場合に、発生する可能性が高い。一次対応としては、以下のセキュリティ対策の基本とも言える対応をとり、マルウェアがインストールされないようにすることが大切である。
- サーバやクライアントをファイアーウォールの内側に隠す。
- 不必要なソフトウェアをインストールしない。
当面の対応
本脆弱性に対する対応は当面は、OSおよびアプリケーションのパッチ適用になりそうであるが、各CPUベンダー、OSベンダー、アプリケーション・ベンダーの情報を確認する必要がある。根本的な対応としては、CPUの投機的実行に関する見直しとなる可能性がある。不具合の内容が、CPU処理の高速化に関する部分のため、パッチ適用の際には、機能面だけでなく性能の低下が発生しないか確認する必要があることに注意したい。
対策の整理
根本対策に向けての対応を整理しておく。
- CPUのMeltdown、Spectre対応(根本対策)
- CPUへのパッチ適用(緩和策)※CPUに対するマイクロコードで対応
- BIOS等ファームウェアのMeltdown、Spectre対応(緩和策)
- OSのMeltdown、Specter対応(緩和策)
- OS以外のソフトウェアによるMeltdown、Spectre対応(緩和策)※特にJavascriptが動作するブラウザ
- 重要なデータを保管するサーバやパソコンをマルウェアから可能な限り隔離するシステム構成(緩和策)
対策における課題
対策における課題をを整理する。
緊急性の判断とパッチ適用のテスト工数
システム全体に影響を及ぼすような対応を伴う脆弱性に対しては、対応の緊急性についての判断力と、パッチ適用の手順やテストケースの確立など、セキュリティの問題に対する対応力の強化が大切である。
パッチ適用によるパフォーマンスへの影響
パッチ適用に伴うパフォーマンスダウンが指摘されている。根本的な対応には、CPUのハードウェアによる対応が必要なようである。
総括
本脆弱性で対応が急がれているのは、多数のユーザのプロセスが稼働するクラウド環境である。マルウェアによりパスワードが盗まれるなど全く影響がないとは言い切れないが、個人用のパソコンについては緊急度は低く、購入済みの場合は容易な攻撃方法が発見された場合等で問題ないと思われる。パソコンをこれから購入する場合は、パッチが提供され、かつパッチ適用によるパフォーマンスの低下が少ないといわれるCPU、Intelであれば6世代(Skylake)以降にしたほうがよい。
追補
本件以降、本件に派生した脆弱性が公表されている。派生した問題の情報については、以下の参考にリンクを掲載していく。
参考
発見者による情報
- Google Project Zero のブログ記事("Reading privileged memory with a side-channel")
- Graz University of Technology (TU Graz) の研究者による情報("Meltdown and Spectre")
