Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2018年1月13日

CPUの脆弱性「Meltdown」と「Spectre」について現状をメモしておく

はじめに

今更ながらですが、CPUの脆弱性「Meltdown」と「Spectre」の情報が出揃ってきたので、ほぼ自分用なのですが現状をメモしておきます。概要が理解できるになるものになればよいと思います。

このサイトを含め、自分が管理しているサイトはパッチが登場時点で適用していますが、その時点ではあまり情報がまとまっていなかったというのもあります。 

メモしている内容は、目次の通りになります。

 

目次

  • 今回のCPU の脆弱性とは
  • 脆弱性パッチの適用方法
  • 脆弱性パッチの影響
  • その他情報
  • おわりに

 

今回のCPUの脆弱性とは

 セキュリティ研究者らが発見したこれら2つの重大な脆弱性は、攻撃者がプロセッサから読み取れないはずの機密情報を読めるようにするものだ。2つとも、プロセッサが一時的にチップ外で読み取り可能にする機密情報を攻撃者に提供してしまう。

1つめの脆弱性、Spectreを悪用することで、攻撃者はプロセッサに投機的実行プロセスを開始させることができる。すると、プロセッサがコンピュータが次に実行する機能を推測するために機密データを有効にし、攻撃者はこれを読めるようになる。

2つめの脆弱性、Meltdownは、「Windows」や「Mac」などのOSを通じて機密情報にアクセスできるようにする。

 

 報告されている脆弱性は下記の3つ。「Variant 1」と「Variant 2」については「Spectre(スペクター)」という名称が、「Variant 3」には「Meltdown(メルトダウン)」という名称がそれぞれ付与された。前述のブログには論文へのリンクも記されている。

  • Variant 1(CVE-2017-5753):境界チェックのバイパス
  • Variant 2(CVE-2017-5715):分岐ターゲットのインジェクション
  • Variant 3(CVE-2017-5754):不正なデータのキャッシュ読み込み

 またオーストリアのグラーツ大学の研究者も同様の報告をし、関連情報のまとめサイトを開設している。

 

Meltdownはキャッシュメモリの挙動を利用することで、本来は実行中のアプリケーションからは見えないメモリの保護領域(例えば、同時実行されている他のアプリケーションのメモリ)へのアクセスを可能にしてしまうという脆弱性だ。

 データの改ざん等は行えないものの、メモリの内容を制限なしにのぞくことが可能になるため、個人情報やパスコードなどの重要情報を盗まれる危険性がある。

 

もう少し厄介な問題となるのがSpectreだ。これは比較的“モダン”な高性能プロセッサではほぼ採用されている「投機実行(Speculative Execution)」のメカニズムにある脆弱性を悪用した攻撃となる。

 テクニック的にはMeltdownの不正なデータのキャッシュ読み込みよりも悪用が難しいものの、投機実行の仕組みそのものを利用する攻撃のため、アーキテクチャにかかわらず影響範囲が非常に広い。

 実際、IntelとArmが報告している他、AMDも文書を公開して対応を促している。つまり、現状で市場に出回っているPCからサーバ、スマートフォン、各種スマートデバイスまで、そのほとんどがSpectreの潜在的な攻撃対象となり得るのだ。

 こちらはOSへのパッチの他、対策済みのアプリケーションを利用することで問題を回避できる。

 

以下の記事は、時系列な脆弱性情報の遍歴と対策の詳細が掲載されているので一読の価値あり。

 

CPUの脆弱性の影響範囲

多くのチップに存在する2つの脆弱性「Meltdown」と「Spectre」が明らかになった問題で、Appleは米国時間1月4日、全ての「Mac」と「iOS」デバイスが影響を受けると発表した。最新版のアップデートをダウンロードすることで、 Meltdownについては対処できるという。

インテル、ARM、AMDなど多数のCPUに脆弱性--各社が対応急ぐ インテル、ARM、AMDなど多数のCPUに脆弱性--各社が対応急ぐ  「Apple Watch」が影響を受けるのはSpectreの脆弱性のみだが、「Apple TV」は両脆弱性の影響を受ける。  

既にリリースした「iOS 11.2」「macOS 10.13.2」「tvOS 11.2」には、Meltdownの脆弱性を狙った攻撃から守るための対策が講じられているという。さらに、数日中にブラウザの「Safari」にもSpectre対策の修正を予定している。今後、iOS、macOS、「tvOS」、「watchOS」のアップデートにより、この問題に引き続き対処していく。

AMDは米国時間1月11日、疑問の余地のない新しい声明を出した。「Spectre」と呼ばれる設計上の脆弱性の2つの変種は、いずれも「AMDのプロセッサに影響を及ぼす」とAMDの最高技術責任者(CTO)のMark Papermaster氏は声明で述べた。
 

 NVIDIAのセキュリティ情報によると、同社のGPUハードウェアはこれら脆弱性の影響を受けないが、CPUの脆弱性による影響を緩和するため、ソフトウェアのアップデートを提供するという。同社のソフトウェアは、「Meltdown」脆弱性の影響を受けるCPUで稼働させても悪影響を受けると考えられる理由はないという。一方、「Spectre」脆弱性については、「GeForce」や「Quadro」「NVS」「Tesla」「GRID」の各製品のソフトウェアに対してアップデートを提供する。

 

脆弱性パッチの適用方法

Windows では Windows Update によるパッチ適用、Apple 製品はOSのアップデートによってパッチを適用できます。

細かいバージョンなどは以下の記事を参照してください。

 Microsoftは当初の予定(1月9日)を繰り上げて、緊急アップデートの提供を開始した。更新プログラム「KB4056890」が該当し、これによりOSやEdgeブラウザ、Internet Explorerを含むアプリケーション群の対策がなされる。

 AppleはMeltdownの緩和策(mitigation)をiOS 11.2、macOS 10.13.2、tvOS 11.2でリリース済み、Spectreの緩和策はSafariのアップデートで対処する計画だと発表した。

 GoogleはAndroidやChromeブラウザでのパッチ提供計画を発表。この問題に対策済みの最新版ブラウザ「Chrome 64」を1月23日に公開する予定だ。

 Webブラウザについては、Mozillaも対策済みブラウザ「Firefox 57.0.4」を公開している。

 

CentOS 7も OS のアップデートによってパッチを適用できますが、パッチの適用方法が分かりにくいので以下の記事を参照することをお勧めします。

 

また、IoT なども影響を受けますが、ファームウェアのアップデートを受けられないものも多いでしょうね。

 

脆弱性パッチの影響

 Microsoftは、旧バージョンの「Windows」のユーザーが、CPUの脆弱性「Meltdown」と「Spectre」から保護するパッチを適用した後で「システムの性能低下に気づく」可能性があると認めている。

MicrosoftでWindowsとデバイスグループ担当エグゼクティブバイスプレイデントを務めるTerry Myerson氏は公式ブログで、特に古いプロセッサを搭載する「Windows 7」「Windows 8」(「Haswell」やそれ以前のCPUが稼働する2015年頃のPC)で、多くのユーザーが性能への影響に気づく可能性があるとしている。

「Windows 10」でも、古いハードウェアが稼働している場合、一部のベンチマークで著しい性能低下を示したという。Microsoftは、「一部のユーザーはシステムパフォーマンスの低下に気づくだろう」としている。

  

 Windows Update経由で対策パッチを配信。

こうした対策パッチがPCやサーバのパフォーマンスに与える影響については、Microsoftのベンチマークテストの結果、「2017-5753」(Spectre)と「2017-5754」(Meltdown)の脆弱性については影響は最低限にとどまるものの、「2017-5715」(Spectre)の脆弱性に対処したパッチでは、パフォーマンスへの影響が確認されたという。

特に、IntelのHaswell(開発コード名)などを搭載した2015年代以前のPCについては、ベンチマークで相当の減速が確認されたといい、Windows 10では「一部ユーザー」が、Windows 8とWindows 7では「大部分のユーザー」が、パフォーマンスの低下に気付くだろうと予想している。

 

Intelは今回、第6~第8世代の「Core」プロセッサとWindows 10を搭載したマシンのベンチマーク結果を公表した。それによると、SSD搭載の第8世代プラットフォーム(Kaby Lake、Coffee Lake)でオフィス業務やメディア作成などを行った場合、パフォーマンスに与える影響は6%未満だった。

 ただ、例えば複雑なJavaScriptを伴うWebアプリケーションなどを使う場合は、最大で10%の影響が出る可能性もある。一方、ゲームのようにグラフィックを集中的に使う作業や、金融分析のように処理能力を集中的に使う作業では、影響は最低限にとどまるとしている。

  

その他

 
Chromebookのユーザーは、このリストで自分の端末の対策状況を確認できる。「CVE-2017-5754 mitigations (KPTI) on M63?」という項目が「Yes」あるいは「Not needed」になっていればそのモデルはMeltdownについては問題がないという意味だ。「No」であれば、アップデートが必要。「EoL」はEnd of Lifeの略で、サポート対象外なので対策は提供されないという意味だ。EoLになっているのは「Samsung Series 5」など、2011年発売の初期モデルだ。

 

Intelは米国時間1月4日、同社製のプロセッサに影響する脆弱性「Meltdown」と「Spectre」に対応したパッチを公開し始めた。

 

おわりに

 CPUの脆弱性対策も大分落ち着いてきたところですが、まだ Android や IoT の古い端末などは放置されているでしょうから懸念されるところです。

 まだ、このCPUの脆弱性の影響は尾を引きそうですね。

 


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA