連載
» 2018年02月08日 05時00分 公開

セキュリティクラスタ まとめのまとめ 2018年1月版:私のCPUが危ない? 仮想通貨の取引にも穴が (1/3)

2018年1月のセキュリティクラスタは「CPU」と「仮想通貨」に振り回されました。CPUに大きな脆弱(ぜいじゃく)性があるとすれば、現在のPCやスマホのほとんどが影響を受けるはずです。自分が当事者になったことで大騒ぎになりました。1月末には仮想通貨の取引所がハッキングの被害に遭い、約600億円分の仮想通貨が盗まれました。こうした中「Twitterのフォロー」の話題では和やかな雰囲気で盛り上がりました。セキュリティクラスタの個々人がどのTwitterアカウントをフォローしているのか、データを基に解析するというものです。

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]

CPUの脆弱性「Meltdown」と「Spectre」で大騒ぎ

 まだ世間は冬休み中の1月3日ごろから、IntelのCPUにセキュリティホールがあること、その結果サイドチャネル攻撃によってメモリ内のデータが盗まれてしまうかもしれないこと、さらにセキュリティホールをふさぐと処理性能が大きく劣化するといううわさがタイムライン(TL)を駆け巡ります。

 実際に攻撃が可能なのか半信半疑の中、1月4日に当のIntelから発表がありました。CPU(の設計)に問題があり、メモリ中のデータが盗まれてしまうというのです。続いてGoogleの「Project Zero」からも、実際に攻撃に成功したという報告があり、TLは大騒ぎとなりました。

 そして「Meltdown」と「Spectre」という2つの脆弱(ぜいじゃく)性が公開されます。いずれも「投機的実行」「アウトオブオーダー実行」というCPUの標準的な動作に起因するものでした。サイドチャネル攻撃によって、本来読めてはいけないメモリ内のデータが読まれてしまうということです。

 幾つかのPoC(概念実証)コードも公開されました。中にはWebページで実行しているJavaScriptコードによって、データを窃取できるものがありました。

 IntelのCPUだけでなくAMDやARMなど他のプロセッサにも脆弱性があることが明らかになり、たくさんのアップデート情報が飛び交うことになりました。

 しかし、情報が公開される前に比べ、公開後はそれほど大騒ぎにはなりませんでした。ユーザー側で簡単に対応できるものではないため、さらに外部から簡単に攻撃できないためです。攻撃に関するツイートはほとんどなく、OSのアップデート状況や、アップデートでの性能の劣化についてのツイートがほとんどでした。

 広い範囲に影響がある脆弱性だったため、多くの解説記事が掲載されました。中でも町田徹氏の記事(現代ビジネス)が話題となりました。原稿には多数の間違いに加えて、謎の新造語「アクセラレーション・ブースト」があったため、たくさんの人が取りあえず「アクセラレーション・ブースト」という単語をツイートしていました。

 なお2月に入り、「Meltdown」と「Spectre」脆弱性を悪用しようとするマルウェアが現れてきたようです。実際の被害はまだ出ていないようですが、注意が必要になってきました。

・Project Zeroによる解説
https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html

・Meltdown
https://meltdownattack.com/

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。