Skylake登場から8年 Intel製CPUの脆弱性「Downfall」の発見が遅れたのはなぜ？：CPU脆弱性「Downfall」の危険性と対策【第4回】

Intel製CPUに脆弱性「Downfall」が見つかった。他ベンダーのCPUにも同様の脆弱性があるのだろうか。2015年に製品化したCPUの脆弱性の発見が、2023年まで掛かったのはなぜなのか。Google研究者の見方は。

[Rob Wright，TechTarget]

　Intel製CPU（中央処理装置）の脆弱（ぜいじゃく）性「Downfall」（CVE-2022-40982）を発見したGoogle。他ベンダーのCPUにも同様の脆弱性が存在する可能性を想定して、調査を進めているという。

AMDのCPUへの影響は？　Downfall発見が遅れたのはなぜ？

併せて読みたいお薦め記事

連載：CPU脆弱性「Downfall」の危険性と対策

• 第1回：Intel製CPUの危険な脆弱性「Downfall」とは？　あのMeltdownの“再来”か
• 第2回：Intel製CPUの脆弱性「Downfall」悪用の手口とは？　Google研究者が明かす
• 第3回：Intel製CPUの脆弱性「Downfall」のパッチ適用を“即決できない”のはなぜ？

脆弱性によるリスクに立ち向かうには

• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由
• 無料版もある脆弱性診断ツール「Nessus」とは？　その歴史と機能

　「Downfallは他のCPUベンダーへの警鐘だ」。Googleでシニアリサーチサイエンティストを務めるダニエル・モギミ氏はそう語る。モギミ氏はDownfallの発見を受け、Intel以外のベンダーのCPUでも同類の脆弱性があるかどうかを調査。「確証は得ていないものの、可能性を否定することはできない」と言う。

　モギミ氏によると、AMD（Advanced Micro Devices）のCPUコアアーキテクチャ「Zen 2」を採用した同社製CPUでは、データ漏えいの兆候は見られなかった。ただし「安全だと言い切るには、さらなる調査が必要だ」と強調する。

　Downfallの影響が及ぶCPUの中には、2015年に製品化したIntel製CPU第6世代（開発コードネーム：Skylake）が含まれる。Downfallの発見に時間が掛かった理由について、モギミ氏は「以前、セキュリティ研究者はCPUの脆弱性にあまり着目せず、関連研究が少なかった」と説明する。

　2018年、GoogleはIntel製CPUの脆弱性「Spectre」「Meltdown」を公開した。それを機に「CPUのセキュリティに関する関心が高まり、研究が盛んになった」とモギミ氏は指摘。このことがDownfallの発見につながったと同氏は考えている。

　Downfallの発見を受け、Intelが同社製CPUのアーキテクチャを大幅に変更する必要があるかどうかに関して、モギミ氏は「まだ分からない」と語る。同氏は「ひとまずパッチ（修正プログラム）の公開で、Downfallへの対処はできた」とIntelの行動を評価しつつ、他の脆弱性の存在を想定した詳細な調査が欠かせないと指摘する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。