機密データに不正アクセスされる可能性CPU脆弱性「Meltdown」「Spectre」がセキュリティに及ぼす決定的な影響

MeltdownとSpectreという脆弱（ぜいじゃく）性は、システムの物理セキュリティとハードウェアセキュリティに影響しており、検出は極めて難しい。これらの攻撃を防ぐ方法とは。

[Nick Lewis，TechTarget]

　脆弱性について議論するとき、脆弱性がCVE-2018-1234のような専門的な名前では注目が集まらない。そのため、議論するのに便利なように脆弱性には名前が付けられる。特定の脆弱性の影響を受ける多種多様な要素が各種製品内にあるために、脆弱性がさまざまなベンダーに影響を与えることがある。こうした場合にも、脆弱性に名前を付けて分類すると役に立つ。

　2018年1月、2つの新しい脆弱性が公表され、名前も付けられた。それがMeltdownとSpectreだ。この2つはサイドチャネルタイミング攻撃に関する脆弱性だ。その影響については多くの議論が交わされている。その結果、多数の企業が続々とリリースされるパッチの適用を急いでいる。

併せて読みたいお薦め記事

「Meltdown」「Spectre」についてもっと詳しく

• Spectre／Meltdown問題で脚光　「CPU脆弱性」の影響と対策
• 「Meltdown」「Spectre」の脆弱性、大手クラウドサービスが格好の標的に
• 「Meltdown」と「Spectre」で明らかになったクラウドベンダーの対応能力
• 発見者が解説――「Spectre」を発見したリバースエンジニアリング手法
• 「Meltdown」と「Spectre」は本当にCPUの脆弱性か、それとも単なる欠陥か

CPUだけじゃない「脆弱性」の脅威と対策

• Windows脆弱性スキャンで“見えなかった欠陥”が見えるようになるチェックリスト
• 失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは？

　これらの脆弱性は、クラウドシステムやアプリケーションに及ぼす影響が大きい。また、適切なタイミングでパッチを適用することが極めて重要になる。ただし、エンドポイントに対する影響はそれほど明確ではない。

　本稿ではMeltdownとSpectreという2つの脆弱性と、これらに対して企業が身を守る方法を取り上げる。

MeltdownとSpectreとは