Intel製CPUの脆弱性「Downfall」のパッチ適用を“即決できない”のはなぜ?CPU脆弱性「Downfall」の危険性と対策【第3回】

Googleが発見したIntel製CPUの脆弱性「Downfall」に対して、Intelはパッチを公開した。その適用を決断する上で、留意すべきことがあるという。それは何なのか。Google研究者が説明する。

2023年10月11日 07時00分 公開
[Rob WrightTechTarget]

関連キーワード

Intel(インテル) | Google | 脆弱性


 Intel製CPU(中央処理装置)の脆弱(ぜいじゃく)性「Downfall」(CVE-2022-40982)を悪用した攻撃からシステムを守るには、どうすればよいのか。具体的な対策は、Intelが公開したパッチ(修正プログラム)を適用することだ。ただし適用に当たっては“ある問題”を考慮する必要があるという。それは何なのか。

「Downfall」パッチ適用を“即決できない”のはなぜ?

 2023年8月、IntelはDownfallのパッチと同時に、Downfallの影響を受けるIntel製CPUの一覧を公開した。Googleでシニアリサーチサイエンティストを務めるダニエル・モギミ氏によると、パッチを適用すれば、基本的にはDownfallの悪用によるデータ流出を防ぐことができる。ただし、まだ発見されていない攻撃の手口がある可能性もあることから「さらなる調査が必要だ」とモギミ氏は強調する。

 セキュリティ対策としてパッチ適用は効果的だが、デメリットもある。パッチ適用によって、CPUの処理速度などのパフォーマンスに悪影響が出ることだ。Intelによると、Downfallのパッチ適用は、対象CPUにオーバーヘッド(処理の負荷)の追加をもたらす場合がある。

 モギミ氏は「セキュリティを優先するのであれば、パッチ適用しか打つ手はない」と指摘。Intel製CPUのユーザー企業に対して「パフォーマンス低下の懸念でパッチを適用しないことは危険だ」と注意を呼び掛ける。

 IntelはDownfallを悪用した攻撃の実証実験をした結果として、実際に悪用するのは「簡単ではない」という見解を示す。ユーザー企業にはすぐにできる対策として、パッチの適用を推奨しているという。


 第4回は、Intel以外のベンダーのCPUでも、Downfallと同類の脆弱性が存在し得るのかどうかを考える。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news053.jpg

「docomo Ad Network」 高LTVユーザーのみに広告配信ができる顧客セグメントを追加
D2Cは顧客生涯価値が高くなることが見込まれるセグメントを抽出し、新たなセグメント情報...

news135.png

インターネットの利用環境、女性の66%は「スマホのみ」――LINEヤフー調査
LINEヤフーが実施した2023年下期のインターネット利用環境に関する調査結果です。

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。