Spectre／Meltdown問題で脚光　「CPU脆弱性」の影響と対策：CPUパッチ適用以外の5つの対策を整理

影響範囲の広さから世界中のセキュリティ担当者に衝撃を与えた「Spectre」「Meltdown」。これらによって認識が広がった「CPU脆弱性」とは、どのような脆弱性なのか。対策はあるのか。あらためて整理した。

≫ 2018年05月07日 05時00分公開

[田北幸治，アイ・ビー・シー]

併せて読みたいお薦め記事

「Meltdown」「Spectre」についてもっと詳しく

CPUだけじゃない「脆弱性」の脅威と対策

Spectre／Meltdownとは何か

　Spectre／Meltdownは、CPUの処理性能を向上させるための「投機的実行」という仕組みを悪用する。投機的実行は、CPUの処理速度を高めるために、処理の過程でデータを先読みしつつ結果を予測し、処理を進める仕組みのことを指す。Spectre／Meltdownは、この投機的実行の処理の過程で、予測結果を誤ったものに導き、メモリ領域からデータを盗み取ったり、悪意のあるコードを実行したりできるようにする。

　Intel製CPUだけでなく、AMDやArmのCPUもSpectre／Meltdownの対象になる。これらのCPUは、世界に流通しているほとんどのクライアントPCやタブレット、サーバといったデバイスで使用されている。ほぼ全ての企業が、CPU脆弱性のリスクにさらされているといってよい。

CPU脆弱性がもたらす影響

　Spectre／MeltdownなどのCPU脆弱性を狙った攻撃がなされた場合、機密情報が漏えいしたり、デバイスが使用不能になったりする可能性がある。最近明るみに出たFacebookの情報流出事件でも分かるように、本来漏えいしてはいけない情報が漏えいした場合、企業に与える影響は言うまでもないだろう。

　CPU脆弱性攻撃の影響範囲は業種によって異なる。一般企業であれば社内の被害のみにとどまることがほとんどだが、クラウドサービスベンダーやマネージドサービスプロバイダー（MSP）では、サービスのユーザー企業にも広範囲に影響する可能性がある。

　当然ながらデバイスベンダーへの影響も甚大だ。過去に販売したデバイスのうち影響を受ける可能性がある全機種に対してパッチを開発し、テストをした上で配布しなければならない。販売中の機種や今後販売を予定していた機種に対しても、生産工程の見直しが必要になる。

CPU脆弱性対策を考えるに当たって考慮しておくべきこと

　一般的なソフトウェアの脆弱性の場合、ソフトウェアベンダーが脆弱性を修正するパッチを開発し、アップデートまたはパターンファイルの形で配布する。ユーザー企業は自動または手動によりこれらを適用する。

　CPU脆弱性の場合も同様に、IntelなどのCPUベンダーがパッチを開発する。ここでのパッチは、ファームウェアの一種であるCPU制御プログラムの「マイクロコード」を対象としたものだ。通常は、CPUベンダーがユーザー企業にパッチを直接配布することはない。CPUベンダーはデバイスベンダーにパッチを配布し、その後各デバイスベンダーが自社製品にパッチを組み込み、テストをした後、ファームウェアアップデートの流通経路を使って配布する。

　企業では、単一デバイスベンダーの単一機種だけを全社で使用することは、まずあり得ない。通常はさまざまなベンダーの多様な機種が混在しており、導入時期もまちまちだろう。ユーザー企業は、どの機種をいつ購入したのか、どこで何台使用しているのかを正確に把握する必要がある。その上で各デバイスベンダーのパッチ提供状況を常に確認し、提供が始まったら迅速に適用する。

主要なCPU脆弱性対策

　根本的なCPU脆弱性対策としては、マイクロコードのパッチを適用することになる。ただしそれ以外にも企業が取り得る対策がある。主要な対策を以下にまとめた。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

TechTargetジャパントップセキュリティ