久々に大規模な脆弱性を聞いた

注意: この記事は1年以上前に掲載されたものです。情報が古い場合がありますのでお気を付け下さい。

2018年初めに、非常に広範にわたるプラットフォームに影響を与える脆弱性が報告された。それが「Meltdown」と「Spectre」である。いずれもCPUの基本設計に関わる脆弱性で、多くのOSやアプリケーションなどで対策が進められているという。

投機的実行に関する脆弱性「Meltdown」と「Spectre」について解説』(トレンドマイクロセキュリティブログ)によれば、Meltdown/Spectre共にCPUの基本設計に関わる脆弱性で、OSを問わず脆弱性があり、不正なコードが実行されて、パスワードや暗号鍵が盗み取られるとのことである。また、パフォーマンス改善のための仕組みが、脆弱性を生み出してしまっていたとのことである。

今回の脆弱性で特徴的なのは、その影響範囲の広さにあり、Meltdown/Spectre共にはIntelやAMD、ARMなど、今日で主流となっているCPUに影響を及ぼすと言われている。それだけでなく、ハードウェアの深いところに起因するという問題もあり、対症療法としてOSベンダーなどでは修正パッチはリリースされているものの、根本的な対応としては機器を完全に入れ替える必要があるというほどのもので、その対応は難航することが見込まれているという。

致命的な脆弱性としてはHeartbleedが有名だったが、今回の問題はそれ以上に大変なことになりそうである。

タイトルとURLをコピーしました