2011年以降に製造されたほとんどすべてのIntel(インテル)チップに重大な脆弱性がまた発見された。これを受けてMicrosoft(マイクロソフト)やApple(アップル)をはじめテクノロジー大企業は対応パッチを緊急リリースした。
火曜日に専門家グループは、ZombieLoadと呼ばれれる脆弱性に関する詳細なレポートを発表した。このバグはMDS(マイクロアーキテクチャ・データ・サンプリング)と呼ばれるテクノロジーを利用したもので、パスワード、暗号鍵、各種のトークンなどの秘密情報を、CPUから盗み出すことができる。
バグの詳細については先ほど公開したこちらの記事を参照していただきたい。結論からいえば、ユーザーはパニックを起こすべきではないが、速やかにシステムをアップデートして修正パッチを適用する必要がある。
専門家によるバグの動作実証画面
AppleはmacOS対応済み
Appleは2011年以後に出荷されたすべてのMacとMacBookにパッチをリリースした。
同社のセキュリティーアドバイスによれば、 macOS Mojave 10.14.5が作動するすべてのデバイス向けのパッチが月曜にリリースずみだという。このパッチはSafariその他のアプリを経由するZombieLoad攻撃を防ぐことができる。ほとんどのユーザーは、パッチの適用によるパフォーマンス低下などの影響を受けない。ハイパースレディングを完全に無効化するなどの防止策にオプトインした場合、最大40%のパフォーマンス低下が起きる可能性があるという。
セキュリティーパッチは今後Sierra、High Sierra版もリリースされる予定だ。 iPhones、iPad、Apple Watchは今回のバグでは影響を受けない。
MicrosoftはWindowsをアップデートずみ
MicrosoftもOS、クラウドの双方に対するパッチをリリースした。
Microsoftのシニアディレクターを務めるJeff Jones氏は「我々はインテルや他の関連メーカーと密接に協力して対策を開発、テストした」と述べた。
TechNetの報道によれば、Microsoftは「一部のユーザーはチップ・メーカーから直接マイクロコードを入手する必要があるかもしれない」と述べたという。Microsoft自身もWindowsアップデートでできるかぎり多種類のチップ向けマイクロコードのアップデートを発表している。また同社のウェブサイトからも入手できる。
OS自身のアップデートはWindowsアップデートとして本日にリリースされる予定だ。MicrosoftはZombieLoad攻撃を防ぐための方法を説明する専用ページを開設している。
Microsoft Azureのユーザーについては対策済みだという。
GoogleはAndroid対応済み、今後Chromeも
Googleも対策を取ったことを確認した。 同社によれば、「ほとんどのAndroidデバイスは影響を受けない」としている。ただしインテルチップ専用機に関してはチップメーカーがアップデートを発行したらインストールしておく必要がある。
ChromebooksなどChrome OSデバイスの最新版はパッチ済み。次のバージョンでさらに根本的な修正が行われる。
GoogleのChromeチームはアドバイザリーページでパッチについて「OSベンダーはこのバグを隔離し、システムを攻撃から防御するためのアップデートを発行するだろう。ユーザーはベンダーのガイダンスに従ってこれらのアップデートを速やかにインストールすべきだ」と述べている。つまりWindowsやmacOSのパッチを一刻も早く適用せよということだ。
Googleっはデータセンターのサーバーにパッチを適用済みだ。つまりGoogleクラウドのユーザーはすでに保護されているが、Googleのセキュリティー情報には今後も充分注意を払うこと。
AmazonはAWSを修正済み
Amazonの広報担当者はAmazon Web Servicesはインテルチップの脆弱性を利用した攻撃を防ぐためのアップデートを実施ずみだとして次のように述べた。
「AWSは従来からこの種のバグによる攻撃を防ぐための措置を取っている。MDS(データベース移行サービス)にはさらに付加的予防措置が取られている。すべてのEC2インフラはこうした新たな保護を適用されており、顧客側で必要とされる措置は特にない」。
MozillaはFirefoxに本体アップデートを来週リリース
Firefoxブラウザに関してMozillaは「長期的解決を準備している」と述べた。
Firefoxは、AppleがmacOSに関して推奨した防御措置を適用ずみだ。5月21日に予定されているmacOS版Firefox(v67)およびExtended Support Release(v60.7)へのアップデートにはこのパッチが含まれる。FirefoxベータおよびFirefox Nightly版にはこの修正が適用されている。
広報担当者によれば、Windows版、Linux版には特に対策は必要ないという。
アップデート:当初の記事を各社からのコメントによって記事を更新した。
【Japan編集部追記】今回のバグは昨年1月に発見されたMeltdownやSpectreと同様にCPUデザインの欠陥を利用したものでIntelチップを利用したデバイスすべてに影響が及ぶ。ただし手法はまったく異なり、「CPUが解釈できない命令を読ませることによりCPUコアに不正な命令を実行させ」バッファー内容を読み出すものだという。
[原文へ]