影響範囲の広さから世界中のセキュリティ担当者に衝撃を与えた「Spectre」「Meltdown」。これらによって認識が広がった「CPU脆弱性」とは、どのような脆弱性なのか。対策はあるのか。あらためて整理した。
「脆弱(ぜいじゃく)性」と聞くと、真っ先にソフトウェアの脆弱性を思い浮かべる人が多いだろう。「脆弱性対策」をうたうセキュリティ製品/サービスの大半が、ソフトウェアの脆弱性を対象としている現状が、その証左だといえる。こうした状況に一石を投じるかのように明らかになったのが、CPU脆弱性の「Spectre」「Meltdown」だ。2018年1月、Googleのセキュリティチーム「Project Zero」が公開したこれらの脆弱性は、CPUの高速化をもたらすハードウェアやファームウェアレベルの処理に起因する。
Spectre/Meltdownは攻撃方法の存在が実証された段階であり、実際の悪用例は現時点までに明らかになっていない。ただし今後も悪用されないとは言い切れず、少なくともCPU脆弱性やその対策について理解しておくことは重要だ。CPU脆弱性は、一般的なソフトウェア脆弱性と何がどう違うのか。その具体的な対策とは。Spectre/Meltdownを例に詳しく解説しよう。
Spectre/Meltdownは、CPUの処理性能を向上させるための「投機的実行」という仕組みを悪用する。投機的実行は、CPUの処理速度を高めるために、処理の過程でデータを先読みしつつ結果を予測し、処理を進める仕組みのことを指す。Spectre/Meltdownは、この投機的実行の処理の過程で、予測結果を誤ったものに導き、メモリ領域からデータを盗み取ったり、悪意のあるコードを実行したりできるようにする。
Intel製CPUだけでなく、AMDやArmのCPUもSpectre/Meltdownの対象になる。これらのCPUは、世界に流通しているほとんどのクライアントPCやタブレット、サーバといったデバイスで使用されている。ほぼ全ての企業が、CPU脆弱性のリスクにさらされているといってよい。
Spectre/MeltdownなどのCPU脆弱性を狙った攻撃がなされた場合、機密情報が漏えいしたり、デバイスが使用不能になったりする可能性がある。最近明るみに出たFacebookの情報流出事件でも分かるように、本来漏えいしてはいけない情報が漏えいした場合、企業に与える影響は言うまでもないだろう。
CPU脆弱性攻撃の影響範囲は業種によって異なる。一般企業であれば社内の被害のみにとどまることがほとんどだが、クラウドサービスベンダーやマネージドサービスプロバイダー(MSP)では、サービスのユーザー企業にも広範囲に影響する可能性がある。
当然ながらデバイスベンダーへの影響も甚大だ。過去に販売したデバイスのうち影響を受ける可能性がある全機種に対してパッチを開発し、テストをした上で配布しなければならない。販売中の機種や今後販売を予定していた機種に対しても、生産工程の見直しが必要になる。
一般的なソフトウェアの脆弱性の場合、ソフトウェアベンダーが脆弱性を修正するパッチを開発し、アップデートまたはパターンファイルの形で配布する。ユーザー企業は自動または手動によりこれらを適用する。
CPU脆弱性の場合も同様に、IntelなどのCPUベンダーがパッチを開発する。ここでのパッチは、ファームウェアの一種であるCPU制御プログラムの「マイクロコード」を対象としたものだ。通常は、CPUベンダーがユーザー企業にパッチを直接配布することはない。CPUベンダーはデバイスベンダーにパッチを配布し、その後各デバイスベンダーが自社製品にパッチを組み込み、テストをした後、ファームウェアアップデートの流通経路を使って配布する。
企業では、単一デバイスベンダーの単一機種だけを全社で使用することは、まずあり得ない。通常はさまざまなベンダーの多様な機種が混在しており、導入時期もまちまちだろう。ユーザー企業は、どの機種をいつ購入したのか、どこで何台使用しているのかを正確に把握する必要がある。その上で各デバイスベンダーのパッチ提供状況を常に確認し、提供が始まったら迅速に適用する。
根本的なCPU脆弱性対策としては、マイクロコードのパッチを適用することになる。ただしそれ以外にも企業が取り得る対策がある。主要な対策を以下にまとめた。
Copyright © ITmedia, Inc. All Rights Reserved.
テクノロジーの進歩によって攻撃対象領域が拡大している昨今、従来のSOCは対応能力の限界を迎えている。最新の脅威に対抗するためには、セキュリティ運用の抜根的な改革が必要になるが、どのように進めていけばよいだろうか。
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
攻撃者視点でシステムの防御策を考える「ホワイトハッカー」の仕事の需要は旺盛で、仕事内容も刺激的だ。ホワイトハッカーになるための認定資格とは。
PCをはじめとするエンドポイントデバイスがコモディティ化する中、それらをどう脅威から守るかは、あらゆる企業にとって重要課題だ。AI対応デバイス導入の波や、重大な脆弱性への対応など、現状のリスクを踏まえた上で最適な解決策を探る。
ISMSクラウドセキュリティ認証は、安全なクラウドサービスを利用者自身が選択できるように誕生したセキュリティ規格だ。ただ、取得のために何をすればよいか分からないという声も多く聞かれる。そこで、概要から取得方法までを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
