既報のように、米国時間の8月8日に、米Intelが同社製の一部のCPUで情報漏洩の恐れがある脆弱性(CVE-2022-40982)に対処するためのセキュリティアドバイザリーと、影響を緩和するためのマイクロコードアップデートの提供を開始した。第6世代(Sky Lake)から第11世代(Tiger Lake)までの幅広いIntel CPUに影響が及ぶこの脆弱性は「Downfall」と呼ばれており、その背景から2018年にテック業界全体を巻き込む大騒動に発展した「Meltdown/Spectre問題」と比べられている。5年前のような大きな問題になるのか。Downfallについてこれまでに明らかになっている情報をまとめた。
DownfallがMeltdown/Spectreと比べられるのは、CPUの性能を最適化する技術「投機的実行」に起因する脆弱性であるためだ。データ処理の高速化のニーズに応えるためにチップに組み込んだスキームに起因した脆弱性であり、投機的実行問題が表面化して以来、同様の設計上の問題を特定するために多大な投資を行われてきたが、今でも新たな綻びが報告されている。Downfallを発見したDaniel Moghimi氏(Googleのシニアリサーチサイエンティスト)は、Meltdown、2019年の「Fallout(MDS)」の系譜となる脆弱性であることから「Downfall」と名付けた。
Downfallは、メモリ最適化機能によって意図せずハードウェアの内部レジスタを公開してしまう脆弱性であり、メモリ内の散在したデータへのアクセスを高速化するGather命令が投機的実行中に内部ベクターレジスタファイルの内容を漏洩させてしまう恐れがあるという。Moghimi氏がDownfallの情報サイトを開設しており、ローカルシステムにおける脆弱性への攻撃によって、128ビットや256ビットのAES暗号鍵やLinuxカーネルの任意のデータを盗み出したり、プリンタブルな文字の監視が可能であることを示している。
Moghimi氏のレポートから、Downfallは「深刻な脆弱性」と報じられているが、実際に悪用される可能性はというと、Downfall(Gather Data Sampling:GDS)のCVSS(共通脆弱性評価システム)ベーススコアは6.5(Medium)である。第6世代から第11世代まで多くのIntel製品が影響を受けるが、Alder Lake、Raptor Lake、Sapphire Rapidsを含む第12世代以降の新しいプラットフォームは対象外である。それらはDownfallの問題をブロックする深層防御機能を備えている。
Moghimi氏はローカルシステムにおいてOpenSSLから暗号鍵を引き出す攻撃を2週間で開発しており、脆弱性を狙った攻撃が「非常に現実的」としている。また、Downfall攻撃は検知が難しいとも指摘している。一方で、報告を受けてから脆弱性を分析してきたIntelのVivek Toward氏(Remediation and Response Engineering担当バイスプレジデント)は、管理されたラボ環境以外でDownfallを悪用するのは「複雑な作業になる」と指摘しており、潜在的な攻撃者が最初のターゲットにすることができないデータを推測できる範囲に問題はとどまると見ている。
Moghimi氏に比べてIntelのリスクに対する評価は穏やかだが、それでも影響を受けるプロセッサの利用者に、システム製造元が提供するDownfall問題に対応した最新のファームウェアを適用するように推奨している。Moghimi氏によると、Downfallはこれまでの緩和策を打ち破れる。同氏がIntelにDownfallを報告したのは2022年8月。脆弱性に対処するプロセスは改善されているが、Downfallのような脆弱性への対応は複雑であり、マイクロコードのアップデート提供まで1年近くを要した。
緩和アップデートは、Gather命令の一時的な結果をブロックする。特定のワークロードにおいて最大50%の性能低下があるとしており、性能への影響の懸念が広がっている。しかし、影響を受ける可能性があるのは、グラフィカルライブラリ、バイナリ、ビデオ編集などGather命令またはベクトル化で性能を引き出しているアプリケーションに限られる。通常Gather命令はホットパスで使用されないため、ほとんどのクライアントアプリケーションでは「顕著な影響はない」と、Intelは予想している。
サーバーも同様に、LAMMPSやGROMACS、NAMDといったGather命令がホットパスの一部になっているアプリケーションが最も影響を受けやすく、ベクトル化で最適化されたアプリケーションもその依存度によって性能低下が発生するが、多くのアプリケーションは影響を受けないとのこと。Downfallミティゲーションはデフォルトで有効になるが、Downfallにさらされるリスクが低いとシステム管理者が判断した場合、OSベンダーが提供する方法を使用してミティゲーションを無効にするオプションを用意している。