• 会員限定
  • 2018/01/25 掲載

いまさら聞けない「メルトダウン」「スペクター」 結局は何が問題だったのか

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
2017年末、英国のWebニュースサイト「Register」がインテルCPUのアーキテクチャにかかわる脆弱性「メルトダウン」(Meltdown)「スペクター」(Spectre)が発見されたと報じた。プロセッサのハードウェアにかかわる問題のため、対応の難しさ、影響の大きさが話題となった。インテル株価の下落に伴い、役員の株売買のニュースも流れ事態は混乱してくる。現在、騒ぎは落ち着きつつあるが、改めて問題を整理してみたい。
画像
メルトダウン/スペクター問題はなぜここまで騒がれたのだろうか?
(©fotomek - Fotolia)


プロセッサのメモリ管理にかかわる脆弱性

 問題を分かりやすく説明すると、メルトダウンは、本来保護されるべきプロテクトメモリの内容が別のプロセスから読み出せてしまう脆弱性。スペクターは処理を高速化するための命令先読み機能を脆弱性を利用して、やはり保護されたメモリのアクセスを許してしまう。どちらもプロセッサアーキテクチャにかかわる脆弱性であり、インテルプロセッサだけでなくAMD、ARM(どれもx86アーキテクチャと呼ばれる)のプロセッサも影響がある。

 プロセッサにかかわる問題のため、パッチは通常のセキュリティアップデートのようにOSの修正だけでは済まない。BIOSファームウェアやマイクロコードと呼ばれるプロセッサ内部のファームウェアをアップデートする必要がある。本質的には、プロセッサのアーキテクチャや設計を修正する(作り直す)必要があるが、ファームウェアのアップデートは、アプリケーションやOSのアップデートより手間がかかる。

 アーキテクチャを変更するようなファームウェアアップデートは困難なので、実際には、ファームウェアに特定のコードを書き込むなどして、OSやアプリケーションが脆弱性を回避する対策が一般的だ。今回のアップデートでも、インテルが配布した最初のパッチには予期せぬリーブトを引き起こす可能性があるとして、同社は新しいパッチを用意するとアナウンスした。プロセッサのファームウェアアップデートの難しさを示している。

報道の仕方と受け手のリテラシーが問題を大きくした

 メルトダウン/スペクター問題の概要は以上だ。では、この問題がなぜ大きく騒がれることになったのか。

 1つは、OSやアプリケーションの脆弱性ではなくプロセッサという、コンピュータの心臓部に相当するコンポーネントの脆弱性だったという点が挙げられる。多くのエンジニアにとってもブラックボックス化している現代のプロセッサの脆弱性評価は難しい。分からないモノはどうしても不安の対象になりやすい。

 もう1つは、Webを含むメディアの取り上げ方だ。多くの報道だけを読むと、「未解決のプロセッサの重大な脆弱性」「アーキテクチャにかかわるため対策が困難」「パッチをあてても性能が下がる」といった点が強調され、肝心の対策方法と現実的な攻撃成立の可能性まで言及した記事は少ない。個々の指摘は事実ではあるが、本当の危険性や影響度を見誤る情報が先行していた感は否めない。

 さらに、報道する側の認識不足や知識不足の記事も目立った。本件は2017年初頭には業界や専門機関によって把握され、標準的な脆弱性ハンドリング手順に従って、修正パッチの作成と公表が進められていた。報道だけみるとRegisterのスクープによって年明け早々に緊急パッチがリリースされたように見えるが、年始のパッチ公開はその前から予定されていたものだ。むしろ報道により、関連機関やクラウドデータセンターなどが対応の前倒しをせざるを得なかった。

 ついでに言えば、インテルの役員がスクープされる前に株を売り抜けたという疑惑がWebニュースやSNSなどに見られたが、これもスケジュールされたストックオプションの行使タイミングと重なっただけとみる方が自然だ。この役員がいつ情報を掴んだかは不明だが、インテルとしては、遅くとも2017年2月の時点で脆弱性ハンドリングの当事者として動いていたはずだ。パッチ公開も予定された脆弱性情報で株価が下がるという予想は常識的に考えにくい。

攻撃インパクトは万人にとって同じではない

 前提として、セキュリティ対策において、守る資産や対策は組織の事情によって異なるものだ。そのため、同じサイバー攻撃でも影響や被害の度合いは組織ごとに異なる。しかし、脆弱性の危険度や重要度の指標は、攻撃が成功した場合のインパクトで示されることが多い(その攻撃が各組織にとって有効かどうかは評価していない)。したがって、脆弱性情報の評価は、攻撃のインパクトだけでなく、自組織にとって攻撃の容易さ、攻撃者側の費用対効果なども加味する必要がある。

 その点で、メルトダウン/スペクターは、現実に攻撃を成功させるのは簡単ではないということを把握できたかどうか、が正しい評価を下せたかの鍵となる。とくにスペクターについては、狙ってパスワード情報を入手するのはかなりハードルが高い。それこそ、攻撃側も投機的な攻撃になるのでは、という類の脆弱性である。

【次ページ】 誰が影響受ける? どんな情報が読み出せる?

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます