2018年07月05日 05時00分 公開
特集/連載

「Meltdown」と「Spectre」は本当にCPUの脆弱性か、それとも単なる欠陥か仕組みを解説

「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。

[Michael Cobb,TechTarget]

関連キーワード

脆弱性 | Intel(インテル) | AMD


 「脆弱性」とは何か。CNSS(Committee on National Security Systems)が作成した「National Information Assurance Glossary」によれば、脆弱性とは「情報システム、システムセキュリティ手続き、内部統制、実装の中で侵害される恐れのある弱点」と定義されている。米国空軍のソフトウェア保護戦略では、「システムの影響を受けやすい部分(欠陥)」「欠陥を見つけ出す脅威の能力」「欠陥を悪用する脅威の能力」という3つの要素が互い交わるところにシステムの脆弱性があると定義されている。

 こうした定義に基づくと、CPUの欠陥であるMeltdownとSpectreは脆弱性に分類されるのだろうか。それとも一部で主張されているように単なるCPUの特徴で、悪意を持った行為者が悪用する方法を成立させただけなのだろうか。

 最新のOSは、ユーザーアプリケーションがカーネルメモリ(保護されたメモリ領域)に読み取りや書き込みを行えないようにしている。また、他のアプリケーションのメモリにもアクセスさせない。デバイスが複数のアプリケーションやクラウドベースのサーバを安全に実行できるようにし、1台のPCで複数のユーザープロセスを独立させた状態に保つためには、こうしたメモリの分離が不可欠になる。

MeltdownとSpectreの仕組み

ITmedia マーケティング新着記事

Yahoo!広告がLINE広告と連携 「LINE NEWS」面への配信を開始
ヤフーとLINENが広告事業で初めての連携。

news019.jpg

人はなぜFacebookを離脱したくなるのか? プライバシー懸念を上回る理由
さまざまな懸念もよそに拡大する巨大SNS。一方でそこからログアウトする人々は何を思うの...

news117.jpg

化粧品の二次流通市場規模は推計1555億円――メルカリとアイスタイル調査
二次流通市場購入者の40.1%が、使ったことがない化粧品を試すための“トライアル消費”...