IoTデバイスも対象、“現代的な”CPUの脆弱性「Meltdown」と「Spectre」:IoTセキュリティ
投機的実行機能を持つ現代的な(Modern)CPUの脆弱性が見つかった。インテル、AMD、アームのCPUが対象になっており「Meltdown」「Spectre」と呼ばれている。IoTデバイスに広く用いられている「Cortex-Aシリーズ」も含まれており、OSやアプリケーションのアップデートによる対策が必要だ。
グーグル(Google)のセキュリティチームであるProject Zero(GPZ)は2018年1月3日(現地時間)、インテル(Intel)やAMD、アーム(Arm)のCPUに脆弱性が存在すると報告した(GPZのブログ)。投機的実行(Speculative Execution)機能を持つ、パイプライン化された現代的な(Modern)CPUのデータキャッシュタイミングに関わる「サイドチャネル攻撃」が可能な脆弱性であり、最悪の場合は任意の仮想メモリを読み出すことが可能になるという。オーストリアのグラーツ大学の研究者も同様の報告を行っている。
今回の脆弱性は3つのバリアント(Variant)に分けられる。バリアント1が「bounds check bypass」(CVE-2017-5753)、バリアント2が「branch target injection」(CVE-2017-5715)、バリアント3が「rogue data cache load」(CVE-2017-5754)で、バリアント1とバリアント2が「Spectre」、バリアント3が「Meltdown」と呼ばれている。
Spectreは、異なるアプリケーション間のアイソレーション(分離)を破るもので、パスワードなどの機密情報が漏えいする可能性がある。グラーツ大学によれば、先述した現代的なCPUの全てが対象になり得る。アプリケーションごとに対策を行うことで脆弱性に対応できるものの、全てのアプリケーションで対策を行う必要があり、完全な対応が難しいとされている。
Meltdownは、アプリケーションとOS間の分離を破るもので、Spectreと同様に機密情報が漏えいする可能性がある。グラーツ大学によれば、1995年以降に発売されたアウトオブオーダー実行機能を持つインテルのCPU(2013年以前の「Itanium」と「Atom」は除く)が対象になる可能性がある。少なくとも2011年以降のインテルのCPUで、Meltdownの脆弱性を確認している。OS側で対策パッチを当てるなどして対応できる。
なおGPZは、インテルのHaswell世代「Xeon E5-1650 v3」、AMDの「FX-8320」と「PRO A8-9600 R7」、アームの「Cortex-A57」(スマートフォン「Google Nexus 5」の搭載品)とLinux環境を用いたPoC(概念実証)により脆弱性を確認している。
インテルは過去5年以内発売のCPUへの対応を進める
インテルは2018年1月4日(現地時間)、過去5年以内に発売したCPUの多くに対応するアップデートを既にリリースしたとしている。また来週末(同年1月13日)までに、過去5年以内に発売したCPUの90%以上に対応するアップデートをリリースする計画だ(同社の発表文、英語)。
AMDは、バリアント1についてはソフトウェアやOSのアップデートで対処可能であり、バリアント2はリスクがほぼゼロで、バリアント3の脆弱性はアーキテクチャが異なるためリスクはゼロとしている(同社のセキュリティ情報、英語)。
アームは、バリアント1とバリアント2については「Cortex-R7」「Cortex-R8」「Cortex-A8」「Cortex-A9」「Cortex-A15」「Cortex-A17」「Cortex-A57」「Cortex-A72」「Cortex-A73」「Cortex-A75」が対象になると報告している。また、バリアント3でも「Cortex-A75」が対象になるという。これらの他、アームが確認したバリアント3の亜種「バリアント3a」が存在し、これについては「Cortex-A15」「Cortex-A57」「Cortex-A72」が対象になるとしている(同社のセキュリティ情報、英語)。
なお、アームの「Cortex-Mシリーズ」などに代表されるMCUは、“現代的”とされる投機的実行、パイプライン化、アウトオブオーダー実行などの機能は実装されていないため今回の脆弱性の対象にはなっていない。
しかし、Cortex-R7やCortex-R8といったリアルタイム処理が必要な機器向けに高性能化したプロセッサコアや、IoT(モノのインターネット)デバイスに広く用いられている「Cortex-Aシリーズ」は対象になっている。OSやアプリケーションのアップデートを着実に行うことが必要だ。
また、組み込み機器に広く用いられているOSとしてはマイクロソフト(Microsoft)のWindowsとLinuxがある。Windowsはアップデートがリリースされているが、アンチウイルスなどカーネルのメモリを使用する一部のアプリケーションの影響で起動できなくなる事例が報告されている(Windowsのセキュリティ情報、英語)。Linuxは、Red HatやDebianなどのディストリビューターからアップデート情報が発表されている(Red Hatのセキュリティ情報、英語、Debianのセキュリティ情報、英語)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2017年10セキュリティ事件、1位は多くの工場に被害を与えた「WannaCry」
マカフィーは同社が実施した「2017年のセキュリティ事件に関する意識調査」の調査結果を公表。その中から「2017年の10大セキュリティ事件ランキング」を発表した。
製造業のセキュリティリスクは急増中? 調査から見える現状
製造業の現場でIoT(モノのインターネット)の活用が進む中、これまでとは違うセキュリティの脅威にさらされる機会が増加している。トレンドマイクロが実施した法人組織のセキュリティ実態調査を踏まえて、製造業のセキュリティ対策の現状を探る。
WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。
「WannaCry」に襲われた英国の地域医療連携システム、そこから何を学べるのか
2017年10月に発生したランサムウェア「WannaCry」によるサイバー攻撃。被害事例として真っ先に挙げられたのが英国の医療機関だ。病院単体にとどまらず、地域医療連携システムにも影響が出た。そのとき、どのように対処し、今後のどのような対策を取ろうとしているのだろうか。
サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。
Bluetoothの脆弱性「BlueBorne」はIoT機器を狙う!?
Bluetoothの脆弱性「BlueBorne」は、PCやスマートフォンだけでなく、IoT機器にも大きな影響を与える可能性がある。製造業の技術者は、生産ラインで用いているPCだけでなく、開発したIoT機器についてもBlueBorneへの対処を行う必要がある。