「Meltdown」「Spectre」の脆弱性、大手クラウドサービスが格好の標的に：AWS、Microsoft、Googleの対策は

クラウド環境が「Meltdown」「Spectre」の脆弱性によって狙われる恐れがある。だがAWS、Microsoft、Googleは、攻撃を防ぐ対策は万全と説明している。

[Ed Scannell，TechTarget]

　最近のメモリ技術に存在する最大級の脆弱（ぜいじゃく）性は、特にクラウドコンピューティングプラットフォームに暗い影を落とす恐れがある。

　このほど報告された「Meltdown」「Spectre」と呼ばれる脆弱性は、IntelとAMDおよびARMのプロセッサに存在し、あらゆるサーバやデスクトップPC、スマートフォンに影響を及ぼす。中でもクラウド環境のホスティングをしている大規模データセンターのサーバ群は、最大の標的となりかねない。

　この2種類の脆弱性は、IntelとAMDおよびARMのプロセッサが採用している現代のアーキテクチャに20年以上前から存在していた。こうしたプロセッサはサーバやデスクトップPCやモバイル端末に普及している。だが現実的には、個人の端末や企業のIT環境が攻撃の標的になるとは考えにくいと、J.Gold Associatesの社長兼主席アナリスト、ジャック・ゴールド氏は解説する。

　「個人のPCが狙われることはないだろう。それよりデータセンターの情報を狙った方が、時間をかける価値がはるかにある」（同氏）

　ゴールド氏によると、MeltdownとSpectreの脆弱性は、ユーザーが次にリクエストするコードや機能を予測するプリフェッチ機能を使ってデータと命令をメモリに読み込むコンピュータアーキテクチャを悪用する。事前のプリフェッチを迂回（うかい）して、ディスクからデータを取得すれば脆弱性は回避できるが、この追加的作業のためにパフォーマンスに支障が出る。技術的には解決の難しい問題ではないものの、引き換えにパフォーマンスが低下することを考えると、効果的な対策は難しい可能性もある。

　学術論文によると、Meltdownはクラウドプロバイダーに最も深刻な影響を及ぼす。特にそのプラットフォームのゲストが完全に仮想化されていない場合、影響は大きい。多くのホスティングプロバイダーやクラウドプロバイダーは、仮想メモリのための抽象層が欠落していて、カーネルが全ゲスト間で共有されるDockerのようなコンテナを活用している。従って、Meltdownではゲスト間の分離が迂回され、他の全ゲストのデータが同じ物理ホスト上に露呈される恐れがある。

併せて読みたいお薦め記事

クラウドを狙った攻撃

• AWS、AzureなどのクラウドがDDoS攻撃を受けたら？　ユーザーができる対策はこれ
• Googleのクラウドサービスを悪用――進化するマルウェアへの対抗策は？

クラウドサービスにおけるセキュリティ対策

• AWSになくてAzureにはある、コンテナとセキュリティに関する2つの新機能
• Windows Azureのセキュリティを簡単に向上させる3つの対策

クラウドプロバイダーの対応

　Amazon Web Services（AWS）やMicrosoftなどの大手クラウドプロバイダーは、ユーザーを安心させようと相次いで声明を発表し、ユーザーの多くは既に保護されており、残るユーザーも間もなく保護されると説明した。