2017年はサイバーセキュリティにとって厄年となりました。今年の前半はランサムウェアの台頭が目立ち、Equifaxをはじめとする情報漏えい事件も絶え間なく発生しました。

年末に近づくにつれ、インテルのCPUに巨大なセキュリティ欠陥があるという噂が広まり始めています。2018年に太陽が昇る頃、研究者たちはメルトダウンと幽霊という2つの新発見について豊富な情報を公開しました。どちらもCPUに影響します。

メルトダウンは主にインテル・プロセッサーに影響を与え、（比較的）簡単にパッチを当てることができます。さらに、この脆弱性に対するインテルの対応には、セキュリティ業界からも鋭い批判が寄せられている。ほぼすべてのベンダーの最新プロセッサに影響を与える可能性がある「ファントム」は、長期的にはこの2つの技術のうち、より困難なものとなるでしょう。しかし、この2つの欠陥がどれほど深刻で、どのような影響を及ぼすかを理解するためには、まず、CPUの仕組みを理解する必要があります。

CPU内部

CPUはRAMから命令を取り出し、それをデコードし、最終的に要求された処理を実行する。これはフェッチ-デコード-エグゼキューションサイクルと呼ばれ、すべてのCPUの基幹となるものである。

理論的には、この動作は常に予測可能であり、RAMはすべての命令を順番にCPUに渡して実行します。しかし、現実のCPUはこれよりも複雑で、複数の命令を同時に処理することも多い。CPUの速度が上がると、RAMとCPU間のデータ転送速度が大きなボトルネックになります。

性能を向上させるために、多くのCPUは命令がまだRAMからロードされていないときにアウトオブオーダー実行を行う。しかし、コードが分岐した場合、CPUはどの分岐をたどるべきか、最善の推測をしなければならない。これを分岐予測という。そして、CPUはさらに一歩進んで、予測されたコードの投機的実行を開始することができる。

失われた命令がロードされると、CPUは予測・投機的な操作を何事もなかったかのように解除することができます。しかし、MeltdownとSpectreは、これらの仕組みを利用して、機密データを暴露しています。

インテルの破綻

メルトダウンは、現在、2つの攻撃のうち最も議論を呼んでいるもので、インテル・プロセッサーにのみ影響を与えます（ただし、AMDプロセッサーも攻撃される可能性があるとの報告もあります）。カーネルはコンピュータのオペレーティングシステムの心臓部であり、システムを完全に制御することができます。このように完全に制御しているため、システムカーネルへのアクセスは制限されています。

しかし、Intelの投機実行の実装では、アクセスチェックを行う前にカーネルへのプリエンプティブアクセスが可能です。チェックが完了すると投機的なアクセスはブロックされますが、この短時間でカーネルにマッピングされたデータを表示するには十分です。このデータは、アプリケーションデータからパスワードや暗号化キーまで多岐にわたります。この脆弱性は、Linux、macOS、Windows、VMwareなどの仮想化環境、さらにはWindows AzureやAmazon Web Services（AWS）などのクラウドサーバーなど、ほぼすべてのOS上のほぼすべてのインテルプロセッサに適用されます。

この脆弱性は、もともと2017年半ばにGoogleのProject Zeroによって発見され、他の2つの研究チームによって独自に報告されたものです。いずれも、公開前に関連する開発者やハードウェア**ベンダーに脆弱性を開示しています。つまり、この脆弱性が公表されるまでに、AWS、Windows、macOS、Linuxのすべてに、この攻撃を防ぐためのアップデートが実施されていたことになります。

その予防策として、カーネルへのアクセスを困難にする「カーネルページテーブルアイソレーション」を実装しています。ただし、これは動作が遅くなることも意味しており、初期の報告では、アップデート後に5%から30%程度パフォーマンスが低下する可能性があるとされています。

内部ゴースト

多くのメディアは、メルトダウンのパッチ適用によるパフォーマンスへの影響に注目しています。しかし、ゴーストは間違いなく、2つの脆弱性のうちより有害なものです。

SpectreはIntelのCPUだけでなく、Intel、AMD、ARMのほぼすべてのプロセッサが、あらゆる種類のデバイスに影響を及ぼしているのです。クラッシュにより悪意のあるアプリケーションがカーネルメモリを読み込む必要がある場合、Spectreは投機的実行を悪用し、他のアプリケーションに保護されたデータを漏えいさせます。研究者は、ネイティブコードとJavascriptの両方を使用して攻撃を実行することができました。Javascriptのアプローチでは、ブラウザのサンドボックスをバイパスすることができ、Spectreがブラウザから直接起動できるようになりました。

このような攻撃は、仕掛けるのも難しいが、防ぐのも難しい。研究者たちは、この幽霊を悪用することを "簡単に修正できないから、（中略）長い間、私たちを悩ませることになる "とまで言っています。ソフトウェアパッチにより、ファントムのバリエーションはある程度緩和されますが、主にハードウェアに関連する問題です。米国ソフトウェア工学研究所（SEI）のCERT部門は、"脆弱なCPUのハードウェアを交換する "という解決策を示す脆弱性ノートまで発行していた

余波

ほぼ毎日、新たなセキュリティ侵害、脆弱性、情報漏えいが発見されています。批判的な人がいるのは間違いなく、メルトダウンやファントムもその範疇に入る。これらの攻撃の影響は広範囲に及びますが、そのいずれかを経験する可能性は極めて低いと言えます。特に、これまで使用された形跡を誰も見つけることができなかったからだ。

この2つの脆弱性は、ベンダー、特にインテルの対応によって大きく報道されました。マイクロソフト、アマゾン、Linuxコミュニティが脆弱性を緩和するためのパッチに必死に取り組む中、インテルは守勢に回った。

メルトダウンやゴーストに対しての最初の声明は、その深刻さを軽視し、会社の責任を免れようとするものであった。多くの人の怒りを買ったのは、これらの「エクスプロイトがデータを破損、修正、削除することはありえない」と、まるで機密データを読み取る能力が重要でないかのような言い方をしたことである。Equifax社も大規模なデータ流出事件の後、同様の姿勢で画像保護に取り組んでいます。それが、やがて議会への出頭へとつながっていく。

インテルも同様に、その行為に対して罰を受け、株価は3.5%下落した。インテルCEOのbriankrzanichは、Equifaxの本からもう一つの教訓を得たかもしれない。彼は、2017年11月に事件を知った後、2500万ドル相当のインテル株を取得したと伝えられています**。

AMDは、自社のプロセッサーはいかなる攻撃にも影響されないと主張しています。一方、ARM社は、ほとんどのプロセッサが影響を受けないことを示唆しながらも、影響を受けるプロセッサの詳細なリストを提供するなど、様々なアプローチをとっています。

関係ない？

これらの脆弱性が悪意ある者に利用されていることが判明した場合、被害は甚大となる。幸いなことに、これまでのハートブレイクと同様、こうした危険性のある攻撃は野生では確認されていない。また、攻撃を実行するために、マルウェアがコンピュータにインストールされている必要があります。したがって、よほど特殊な事情がない限り、ホームユーザーであれば、影響を受ける可能性は低いでしょう。しかし、そのリスクに見合うだけの価値があるかというと、そうではありません。

ネットワークの衛生状態を維持することは、決して悪いことではありません。

クラウドプロバイダーは、潜在的な報酬がはるかに大きいため、攻撃に対して最も脆弱です。クラウド上に多くのデータが保存されているため、攻撃者はクラウドサーバーに対してこれらの攻撃を試みる動機があります。一部の大手プロバイダーがパッチをリリースしているのは、明るい兆しです。

しかし、クラウドの安全性はどうなのだろうという疑問もあります。これらの脆弱性に対するインテルの対応は期待外れでしたが、パッチ適用プロセスの複雑さと複数のベンダーによるパッチ展開の速さは称賛に値するものであり、安心感を与えてくれます。

クラッシュやゴーストの心配はありませんか？速度とセキュリティのトレードオフを許容できると思いますか？修正したのは誰だと思いますか？コメントで教えてください