数分前(米国時間1/3)に公開されたブログ記事でGoogleのセキュリティチームが、今朝発表されたチップの脆弱性からGoogle Cloudの顧客を守るために彼らがやったことを述べている。その記事によると、この脆弱性は同社のProject Zeroのチームが昨年…時期不詳…発見していた。
発表によると、同社はその問題をチップのメーカーに報告した。それは、“投機的実行”と呼ばれているプロセスによって起きる。それは、CPUが次にやるべき命令を論理的に推測して実行し、処理速度を上げる、という高度なテクニックだ。そしてその機能に隙(すき)があり、悪者はそれを利用して、暗号の鍵やパスワードなどメモリ上の重要な情報にアクセスできる。
Googleによるとこれは、AMD, ARM, Intelなどすべてのチップメーカーに見られる現象である(AMDは否定)。Intelは、一部で報道された、脆弱性はIntelのチップのみという説を、同社のブログ記事で否定している。
Googleのセキュリティチームは、この問題を知った直後からGoogleのサービスを護るための措置を開始した、と書いている。早期に一般に発表しなかった理由は、調整版のリリース予定が来週(1月9日)だったため、という。そしてこのニュースがリークしたために、GoogleやIntelなどの関係企業は、情報を公開して憶測を終わらせることを選んだ。
なお、Google Apps/G Suiteには、被害が及んでいないので、ユーザーは何もしなくてもよい。そのほかのGoogle Cloudのユーザーは、何らかのリスク対策が必要かもしれない。ユーザーのアクションを必要とするプロダクトやサービスは、このページに詳細が載っている。