新年早々、また頭の痛いニュースが飛び込んできました。Intel製のCPUに内在する問題が、“情報”の盗聴につながるリスクをはらんでいるというのです。この、「Meltdown」と「Spectre」と名付けられた脆弱性が今、世間を騒がせています。
……とはいえ、この「Meltdown」と「Spectre」は、これまでの脆弱性に比べて内容が高度で説明が難しく、本稿執筆時点では上記記事からリンクされた英語の論文を読み解く必要があります。
ざっくりと説明すると、今回の脆弱性はCPUの「投機的実行」を悪用しています。
CPUは高速化のための条件分岐が行われる前に、そのあとの処理を前もって行うことがあります。例えばこれは、上司の承認が出ようが出まいが、「承認されたときの後処理」と、「承認されなかったときの後処理」を“承認前に先にやっておく”――というイメージです。どちらかの処理は無駄になってしまいますが、それでも全体を見れば高速化に寄与するのです。モダンなCPUで行われるこのような処理を投機的実行と呼んでいます。
それを悪用したのが「Meltdown」と「Spectre」。投機的実行の中でメモリ内にある情報を盗み見ることで、セキュリティ境界によって本来、アクセスできなかった情報を詐取できてしまう、というものです。
既にこの対応に向けて、OS、アプリ、Webブラウザのベンダーが動き始めています。
マイクロソフトは、この問題をOS側で修正するWindows security updatesを2018年1月3日にリリースしました。しかし、一部のマルウェア対策ソフトと競合する可能性があるため、更新プログラムを適用するにはマルウェア対策ソフト各社が製品の対応後に「Windows security updatesを有効化するレジストリのアップデート」をする必要があります。
Copyright© 2018 ITmedia, Inc. All Rights Reserved.
DBシステムには様々な悩みがつきものですよね!そんな悩みを簡単に解決してくれるOracle Database Applianceの「ここが凄い」を多佳子が、たっぷり紹介します【動画あり】
日本をはじめ世界中のたくさんの企業で導入が進んでいます。これほど多くの企業に支持されている理由は何でしょうか? そのすごさの秘密を私、加藤多佳子が紹介します
攻撃と防御のいたちごっこが続く中、不正アクセスの「侵入」をいかに防ぐかではなく、「侵入されても素早く見つけ、対処する」へと根本的に戦略を見直すべきときが来ている
あなたにオススメの記事
- PR -