プロセッサの脆弱性「Spectre」と「Meltdown」について知っておくべきこと

　プロセッサは、普段はその存在すら気に留めないが、あらゆるコンピュータデバイスを稼働させるために不可欠なものだ。従って、そのプロセッサに深刻な脆弱性が見つかったことは一大事だ。「Spectre」と「Meltdown」と名付けられたこれらの脆弱性は、ハッキング攻撃に対してプロセッサを無防備にしてしまう。

　コンピュータ上のすべてのプロセスを実行する作業の一環として、プロセッサは極秘データを処理する。例えば、パスワードや暗号鍵など、コンピュータの安全を守るための基本的なツールだ。

　米国時間1月3日に公開された脆弱性を悪用すると、攻撃者は本来アクセスできないはずのパスワードや暗号鍵などの情報をプロセッサから入手できてしまう。それが、コンピュータのプロセッサへの攻撃が重大なセキュリティ問題になり得る理由だ。

　では、なぜこのようなことが起きたのだろうか。また、Intel、Arm、AMDなどのプロセッサメーカー（および、これらのメーカーが提供するプロセッサを製品に採用している企業）はこの問題にどう対処するのだろうか。今あなたが知っておくべきことをまとめた。

どのような脆弱性なのか

　セキュリティ研究者らが発見したこれら2つの重大な脆弱性は、攻撃者がプロセッサから読み取れないはずの機密情報を読めるようにするものだ。2つとも、プロセッサが一時的にチップ外で読み取り可能にする機密情報を攻撃者に提供してしまう。

　プロセッサは基本的に、プロセスを高速化するためにコンピュータが次の機能を実行する上で必要な情報を予測する。これは「投機的実行」と呼ばれる動作で、この推測の段階で一時的に機密情報にアクセスしやすくなる。

　1つめの脆弱性、Spectreを悪用することで、攻撃者はプロセッサに投機的実行プロセスを開始させることができる。すると、プロセッサがコンピュータが次に実行する機能を推測するために機密データを有効にし、攻撃者はこれを読めるようになる。

　2つめの脆弱性、Meltdownは、「Windows」や「Mac」などのOSを通じて機密情報にアクセスできるようにする。Microsoftは3日、Windowsへの影響を緩和するセキュリティアップデートをリリースした。Appleは4日、「macOS」「iOS」「tvOS」向けに対策のアップデートをリリースした。また、数日中に「Safari」ブラウザ向けの修正も予定している。同社は今後も各OSへのアップデートを通じて対策を続けていくとしている。

　セキュリティ専門家はこれらを「サイドチャネル攻撃」と呼ぶ。コンピュータ上の正当なプロセスが使っている情報にアクセスするからだ。

提供：James Martin/CNET