L1端子故障とも呼ばれる伏字は、Intel製プロセッサの投機実行におけるもう1つの問題である。ファントムフラッシュやメルトダウンフラッシュでも割れないセキュアな領域にマルウェアが侵入できるのです。

予示は何ですか？

具体的には、インテルのSGX（Software Protection Extensions）機能に対する攻撃を予見させるものである。これはインテルのチップに組み込まれており、プログラムがコンピュータ上の他のプログラムからさえもアクセスできない安全な「エンクレーブ」を作成することを可能にします。たとえパソコンにマルウェアがあっても、安全なエンクレーブには理論上アクセスできない。ゴーストやメルトダウンが発表されたとき、セキュリティ研究者は、SGXで保護されたメモリはゴーストやメルトダウンの攻撃に対してほとんど無力であることを発見した。

この他にも、セキュリティ研究者が「Foreshadowing - next generation」、つまり伏線攻撃と呼ぶ関連する攻撃が2つあります。これらは、システム管理モード（SMM）、オペレーティングシステムカーネルまたはハイパーバイザー内の情報へのアクセスを可能にします。理論的には、システム上のある仮想マシン上で動作するコードは、これらの仮想マシンが完全に分離されているはずであっても、システム上の別の仮想マシンに保存されている情報を読み取ることができます。

前兆や予兆は、ゴーストやメルトダウンのように、投機的実行の不具合を利用する。最近のプロセッサは、次に実行されそうなコードを推測し、それを先取りして時間を短縮している。もしプログラムがコードを実行しようとしたら、素晴らしい、それは完了し、プロセッサはその結果を知っている。そうでない場合、処理系は結果を破棄することができる。

しかし、この投機的な実行は、いくつかの情報を残します。例えば、投機的実行プロセスがある種のリクエストを実行するのにかかる時間から、プログラムがそのメモリ領域にアクセスできなくても、そのメモリ領域のデータを推測することができます。悪意のあるプログラムは、これらの技術を使用して保護されたメモリを読み取ることができるため、第1レベルのキャッシュに保存されたデータにさえアクセスすることができます。セキュアな暗号鍵が格納されるCPU上の低レベルメモリです。このため、これらの攻撃は「L1 terminal failures」または「L1TF」とも呼ばれる。

ハービンジャーを悪用するためには、攻撃者は単にあなたのコンピュータ上でコードを実行することができればよいのです。コードは特別な権限を必要としないので、低レベルのシステムアクセスを持たない標準的なユーザープログラムでも、仮想マシン上で動作するソフトウェアでもかまいません。

phantomやmeltdownの発表以来、投機実行機能を悪用した攻撃が後を絶ちません。例えば、SSB（Speculative Storage Bypass）攻撃は、IntelとAMDのプロセッサ、および一部のARMプロセッサが影響を受けました。これは2018年5月に発表されたものです。

関連：メルトダウンとゴーストの欠陥は、私のコンピューターにどのような影響を与えるのでしょうか？

ブードゥー教は現場で使われているのでしょうか？

セキュリティ研究者がこの前兆を発見しました。この研究者は概念実証、つまり機能的な攻撃を持っていますが、今は公表していません。これにより、攻撃から身を守るためのパッチを作成し、リリースし、適用する時間が全員に与えられます。

コンピュータを守るには

なお、Omenの影響を受けるのはIntel製チップを搭載したPCのみです。 AMD製チップはこの欠陥の影響を受けにくいです。

マイクロソフトの公式セキュリティアドバイザーは、ほとんどのWindows PCはOSをアップデートするだけで伏兵から身を守れるとしています。Windows Updateを実行するだけで、最新のパッチをインストールすることができます。マイクロソフトは、これらのパッチをインストールしたことによるパフォーマンスの低下は認識していないとしています。

また、一部のコンピュータでは、自身を保護するために新しいインテル・マイクロコードが必要になる場合があります。インテルによると、これらは今年初めにリリースされたマイクロコードアップデートだそうです。コンピュータのファームウェアが新しい場合は、コンピュータまたはマザーボード**のベンダーから最新のUEFIまたはBIOSのアップデートをインストールすることができます。マイクロコードの更新は、マイクロソフトから直接インストールすることも可能です。

関連：Windows PCとアプリケーションを最新の状態に保つ方法

システム管理者が知っておくべきこと

ハイパーバイザーソフトウェア（Hyper-Vなど）が動作するPCも、そのハイパーバイザーソフトウェアを更新する必要があります。例えば、マイクロソフトのHyper-Vのアップデートに加えて、VMWareもハイパーバイザー・ソフトウェアのアップデートをリリースしています。

Hyper-Vや仮想化ベースのセキュリティを使用しているシステムでは、より抜本的な変更が必要になる場合があります。これには、コンピュータの速度を低下させるHyper-Threadingを無効にすることも含まれます。ほとんどの人はこれを行う必要はありませんが、Intel CPU上でHyper-Vを実行しているWindowsサーバー管理者は、仮想マシンを安全に保つために、システムBIOSでHyper-Threadingを無効にすることを真剣に考慮する必要があります。

Microsoft AzureやAmazon Web Servicesなどのクラウドサービスプロバイダーも、共有システム上の仮想マシンを攻撃から保護するためのシステムパッチを適用しています。

他のOSでもパッチが必要な場合があります。例えばUbuntuは、これらの攻撃を防御するためにLinuxカーネルのアップデートをリリースしています。この攻撃について、Appleはまだコメントを出していません。

具体的には、これらの不具合を特定するCVE番号は、Intel SGXに対する攻撃がCVE-2018-3615、OSおよびシステム管理モデルに対する攻撃がCVE-2018-3620、仮想マシンマネージャに対する攻撃がCVE-2018-3646となっています。

インテルはブログで、L1TFベースの攻撃をブロックしながらパフォーマンスを向上させる、より良いソリューションに取り組んでいると述べています。このソリューションは、必要なときだけ保護を適用することで、パフォーマンスを向上させます。インテルによると、この機能を搭載したプレリリース版のCPUマイクロコードを多くのパートナーに提供し、マイクロコードをリリースするかどうか評価中だという。

最後にIntelは、"L1TFもハードウェアレベルで行なった変更で対処している "と指摘する。つまり、将来のインテル® CPU は、ファントム、メルトダウン、プリカーサなどの実行型投機攻撃からより確実に保護し、かつ性能低下を抑えるためのハードウェア改良が施されているのです。

写真提供：Robson90/Shutterstock.com ウェブサイト、伏せ字。