2018年の年明け早々からCPUの脆弱性「Spectre」と「Meltdown」が公開され、話題となりました。
「Spectre」と「Meltdown」の脆弱性は、OSやアプリケーションのように限定的なソフトウェアにおけるバグに起因するものではなく、CPUのアーキテクチャーにかかわるハードウェアレベルの脆弱性であり、現在稼働している幅広いコンピュータ機器に影響があることからメディアなどでも大きく取り上げられ世間を騒がせることとなりました。
これらの脆弱性は、CPUの高速化手法である「投機的実行(speculative execution)」と「アウトオブオーダー実行(out-of-orderexecution)」の機能に存在していました。この機能がどのようにして高速化を実現しているかを説明します。
このような高速化手法において存在する脆弱性「Spectre」と「Meltdown」は、それぞれ以下のような手順による悪用が想定されています。
これらのCPUの設計上の脆弱性を根本的に解決することは事実上難しく、当面の対策としてはOSなどソフトウェアの修正プログラムを適用することで影響を緩和することを狙っています。ただし、配布された一部の修正プログラムに不具合が存在したため、使用中止を呼びかけるといった混乱も発生していることから、今後も注意して情報収集を行う必要があります。
今回の脆弱性のように、OSやソフトウェア以外の思いもよらないところに脆弱性が存在し、大騒ぎとなるケースが今後も発生するかもしれません。
継続的に情報収集・分析を進めることで、自組織にとって必要な対応を冷静に見極めて、影響を最小限に抑える、被害を極小化するための施策を講じるといった取り組みが必要と考えます。
合わせて読みたいホワイトペーパー
関連ソリューション