Intel製CPUを襲う新たな脅威「CacheOut」 これまでの脆弱性と何が違う?「Meltdown」「Spectre」「ZombieLoad」に続く

Intel製プロセッサでデータ漏えいを引き起こす可能性のある新種の脆弱性「CacheOut」が見つかった。これまでに明らかになった同様の脆弱性よりも進刻な攻撃につながる可能性があるという。何が危険なのか。

2020年03月04日 05時00分 公開
[Rob WrightTechTarget]

関連キーワード

Intel(インテル) | 脆弱性


 Intel製プロセッサの処理を高速化する「投機的実行」の仕組みに潜む新たな脆弱(ぜいじゃく)性が明らかになった。この脆弱性は「CacheOut」と呼ばれる。CacheOutを悪用した攻撃は、同じく投機的実行に潜む「Meltdown」「Spectre」「ZombieLoad」といった、これまでに見つかった脆弱性の対策では防げない可能性がある。CacheOut攻撃は、2018年第4四半期(10〜12月)より前に販売されたIntel製プロセッサでデータ漏えいを引き起こす恐れがある。

 CacheOutより前に観測された、投機的実行に関する脆弱性に「Microarchitectural Data Sampling」(MDS)がある。攻撃者はMDSを悪用することで、プロセッサのバッファーにあるデータを不正に取得できるようになる。ただし、どのようなデータを取得するかについては、ほとんどコントロールできない。

 IntelはMDSを悪用した攻撃への対策としてパッチを提供した。このパッチを適用すると、ハードウェアレベルのセキュリティ機構「Intel Software Guard Extensions」(Intel SGX)で利用する隔離領域「エンクレーブ」などのセキュアなメモリ領域が変更されるときにバッファーを上書きする。これにより攻撃者が盗み出そうとしたデータが危険にさらされることを防ぐ。

 攻撃者がCacheOutを悪用すると、こうしたバッファーを上書きする対策を回避できるだけでなく、プロセッサからどのデータを不正に取得するかを「かなりコントロールできる」と研究チームは説明する。CacheOut攻撃は、「ほぼ全ての」Intelプロセッサにあるセキュアなメモリ領域を侵害するという。

研究チームが明かす「CacheOut」の脅威と対策

ITmedia マーケティング新着記事

news136.jpg

「Vポイント」「Ponta」と連携したCTV向けターゲティング広告配信と購買分析 マイクロアドが提供開始
マイクロアドは、VポイントおよびびPontaと連携したCTV向けのターゲティング広告配信を開...

news105.jpg

Netflixの広告付きプランが会員数34%増 成長ドライバーになるための次のステップは?
Netflixはストリーミング戦略を進化させる一方、2022年に広告付きプランを立ち上げた広告...

news094.png

夏休み予算は平均5万8561円 前年比微減の理由は?――インテージ調査
春闘での賃上げや定額減税実施にもかかわらず、2024年の夏休みは円安や物価高の影響で消...