日経 xTECHは各ベンダーが公表している情報や取材をもとに、CPU脆弱性に対する各ベンダーの対応状況をまとめた。ユーザー企業は各社の対応や修正パッチの検証動向と、脆弱性を使ったサイバー攻撃を受けるリスクを冷静に見極めながら、対策の方針を決める必要がある。
「脆弱性単体としてはCVSSスコアが相対的に低い。もっとCVSSスコアが高いものをIT部門内で対応しているのに、今回は大きく話題になったため経営層まで対策を報告しなければならなかった。バランスを欠いた対応になり現場としては困惑している」。あるシステム管理者は日経 xTECHの調査でこう回答した。
今回見つかった脆弱性が注目されたのは、あらゆるコンピュータが共通の脆弱性を持つという言いようのない怖さを感じた利用者が多かったからだろう。脆弱性を発見した米グーグルなどの研究者は「1995年以降のほとんどのシステムが影響を受ける」と指摘しており、米インテルだけでなく米AMDや英アーム(Arm)など複数の企業のCPUが今回見つかった脆弱性を抱える。PCやサーバー、スマートフォンなどあらゆるコンピュータが対象となる。
その一方で、むやみに怖がっては混乱に拍車をかけるだけだ。IT関係者が今回の脆弱性のリスクを正しく理解し、適切に対応するよう誘導していくことが求められる。
今回見つかった3種の脆弱性は、CPUが待ち時間に先読みして実行する「投機的実行」と呼ばれる高速化機構を使う。分岐予測が抱える脆弱性2種を通称「Spectre(スペクター)」、アウト・オブ・オーダー実行が抱える脆弱性を「Meltdown(メルトダウン)」と呼ぶ。
投機的実行により、許可されていない領域へのアクセスであることをチェックされないうちにデータを読み取り、終了後にデータを消去されてもキャッシュメモリーに痕跡が残るように仕込んでおく。後から配列データを読み込んで、それぞれのデータの読み出し時間を観察する。その読み出し時間を基に「何番目のデータがキャッシュに残っていたか」を特定し、データのありかを類推するという仕組みだ。ハードウエアの物理現象を観察してデータのありかを推定する「サイドチャネル攻撃」と呼ばれる手法を応用した。
攻撃はマルウエアの侵入などが前提
ただし、攻撃を成功させる難度は高い。コンピュータ上にマルウエアを侵入させるか、不正なJavaScriptのコードを仕込んだWebサイトにアクセスしたりしなければ攻撃できないためだ。このため検証済みのアプリケーションソフトウエアしか動かさないシステムについては対策不要とする企業が多い。
例えばインテル製のCPUを使うネットワーク機器やストレージ装置について、各メーカーは対策不要と説明する。グーグルはスマートスピーカー「Google Home」やスティック型の動画再生端末「Chromecast」を対策不要としている。
