「Spectre」「Meltdown」脆弱性に新たな変種

Alfred Ng (CNET News) 翻訳校正: 中村智恵子 高橋朋子 (ガリレオ) 編集部2018年05月22日 10時07分

 IntelおよびMicrosoftは米国時間5月21日、「Spectre」および「Meltdown」脆弱性に新たに発見された変種について情報を公開した。数億台のコンピュータやモバイルデバイスに搭載されているプロセッサにさらなる脆弱性が見つかったことになる。

 Intelは今回見つかった変種を「Variant 4」と呼んでいる。同社によると、このVariant 4も1月に最初に公開されたのと同じセキュリティ脆弱性の多くを利用するが、重要情報を抜き出す方法が異なるという。

 Intelのブログ記事によると、Variant 4がウェブブラウザ上で利用するエクスプロイトの多くは最初の修正パッチで対応済みのため、同社はVariant 4を中程度のリスクに分類している。Variant 4は「Speculative Store Bypass」(投機的ストアのバイパス)と呼ばれるものを利用しており、これはプロセッサに重要データを潜在的にセキュアでない領域にロードさせることを可能にするものだ。

 Intelによると、この脆弱性が悪用された形跡は確認されておらず、今後数週間のうちに脆弱性を完全に修正するパッチをリリースする予定だという。Intelはすでにメーカーおよびソフトウェアベンダーにアップデートを提供していると、同社のセキュリティ担当エグゼクティブバイスプレジデントLeslie Culbertson氏はブログ記事で述べている。

 またCulbertson氏は、最初のパッチで発生したようにコンピュータの性能に影響が生じることはないだろうと述べる一方で、Intelのテスト環境で試したところ2~8%の性能低下がみられたことを認めている。フィックスはデフォルトでは無効化されており、これを有効にするかどうかはベンダーが判断すると同社は説明する。

 Microsoftはセキュリティ勧告の中で、この脆弱性ではブラウザのJavaScriptを利用して攻撃を実行することが可能だと述べている。

 Spectreの最初の脆弱性を発見したGoogleの「Project Zero」チームは、Variant 4の問題についても2月に初めてIntel、AMD、ARMに報告していた。その際、同チームもVariant 4を中程度のリスクと分類している。

 ARMのセキュリティアップデートによると、同社のプロセッサの大半にVariant 4による影響は認められなかったという。

 「重要なのは、この方法がローカルで動いているマルウェアに依存する点だ」とARMは述べている

 AMDもセキュリティ勧告でユーザーにシステムのアップデートを勧めており、MicrosoftがAMD製品を対象にしたアップデートのテストを近く完了させると述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]