Intel、AMD、ARMなどのモダンCPUの投機的実行 (speculative execution)プロセスに深刻な脆弱性が存在することが明らかになった。悪用されると、パスワードや暗号カギといった機密データも記録されるシステムメモリーのデータを第三者に読み取られる可能性がある。
Intel CPUだけの問題に非ず
この脆弱性は「Meltdown」と「Spectre Attacks: Exploiting Speculative Execution」という投機的実行の脆弱性を攻撃する手法に関する論文を紹介する報道で広く知られることになった。報道では当初「IntelのCPUに脆弱性」と報じられたが、1月3日 (現地時間)にIntelが「Intel responds to security research findings」という声明を公開し、脆弱性をIntel製品のバグとした報道の誤りを指摘した。脆弱性は投機的実行を採用するモダンCPUの問題であり、AMDやARMなどのプロセッサも影響を受ける。論文を公表した研究者によると、MeltdownがARMやAMDのプロセッサに影響するかは3日時点で「不明」、SpectreはIntel、AMD、ARMのプロセッサで実行できることを確認している。
投機的実行の脆弱性は、昨年にGoogleのProject Zeroチームが発見してIntel、AMD、ARMなど関連する企業に報告しており、1月9日に情報を公表する予定だった。ところが、報道をきっかけに情報や憶測が錯綜したため、同チームが収集した情報を「Reading privileged memory with a side-channel」という記事にまとめて3日にブログで公開した。Amazonによると、問題の脆弱性は20年以上も前から存在していた。
パッチでCPU性能が低下する?
脆弱性の影響はデスクトップPC/ノートPC、クラウドサーバー、モバイルデバイスなど広範に及び、問題解決にはファームウエアとOSのアップデート、利用環境によってはセキュリティツールなどのアップデートも必要になる。
突然の情報拡散で、関係各社は対応を急いでいる。The Vergeによると、Microsoftは3日に緊急のセキュリティアップデートをWindows 10にリリースする予定。macOSは、開発者のAlex Ionescu氏によると、macOS 10.13.2で大部分が修正されており、残りについても対応が進められている。Googleはヘルプページで対応情報を提供し始めた。Amazon Web Services (AWS)は、ごく一部を除いて対応済みであることを3日に公表した。
騒動のきっかけとなった報道では、セキュリティアップデートによってCPU性能が最大30%ほど低下する可能性が指摘されたが、Intelによると、影響の規模はワークロードによって異なり、平均的なユーザーに対して大きくなるべきものではなく、また時間と共に影響は軽減される。