一見すると、このニュースは悪いニュースのように聞こえます。NVIDIAとプリンストン大学の研究者が、現代のあらゆるコンピュータプロセッサに存在するCPUの脆弱性「Meltdown」と「Spectre」を悪用する新たな方法を発見したのです。しかし、新たなMeltdownPrimeとSpectrePrime攻撃は、チップ内に潜む脆弱性を悪用する唯一の方法が必ずしも最初の攻撃ではないことを証明していますが、一般のコンピュータユーザーがこれらの攻撃を恐れる必要はありません。
新たな脆弱性は、最新のプロセッサに搭載された複数のCPUコアを互いに攻撃し、マルチコアシステムにおけるメモリキャッシュアクセスの仕組みを悪用します。Registerの概要と研究論文には、より詳細な技術的詳細が記載されています。MeltdownやSpectreと同様に、攻撃が成功するとパスワードなどの機密情報が盗まれる可能性があります。
さて、朗報です。研究者たちはMeltdownPrimeとSpectrePrimeのエクスプロイトコードを公開していません。さらに良いことに、MeltdownとSpectreに対して既に計画されているパッチは、これらの新しい亜種からも保護するはずです。すべての主要オペレーティングシステムは、エクスプロイトが発表された直後にMeltdown対策をリリースしました。Intelは最初の試みが悲惨な結果に終わった後、CPUファームウェアのアップデートの提供を開始しています。また、業界リーダーはコンパイラとコード処理方法を調整することで、他のソフトウェアをSpectreから保護しています。
ゴードン・マ・ウン最近のさまざまな Intel プロセッサ。
Meltdown、Spectre、そしてこれらの新しいPrime亜種からPCを守るのは簡単ではありません。プロセッサの脆弱性はPCのあらゆる部分に影響を及ぼすからです。PCWorldのMeltdownとSpectreからPCを守る方法に関するチュートリアルでは、複雑なパッチ適用プロセスを詳しく説明しています。研究者たちは、脆弱性を突くマルウェアが実際に確認され始めているため、データの安全を守るために追加の対策を講じることをお勧めします。まだ導入していない場合は、堅牢なデータバックアップとWindows用ウイルス対策ソリューションに投資しましょう。これらは今日のコンピューティングの世界では必須です。
しかし、 MeltdownPrimeとSpectrePrimeは、明日のコンピューティングの世界を複雑化させる可能性がある。IntelとAMDは、次世代プロセッサに元のCPU脆弱性に対するハードウェア修正を組み込んでいるが、これらの新たな攻撃はそれらの修正では阻止できないだろうと研究者らは述べている。
「Primeバリアントのマイクロアーキテクチャ上の緩和策には、新たな検討が必要になると考えています。MeltdownとSpectreは投機的なキャッシュの汚染によって発生しますが、MeltdownPrimeとSpectrePrimeは、無効化ベースのコヒーレンスプロトコルを使用するシステムにおいて、投機的に送信される書き込みリクエストによって発生します。」
偶然にも、インテルは昨日、バグ報奨金プログラムを拡張し、今回のような「サイドチャネル」攻撃に対する特別プログラムを導入し、新たな脆弱性の開示に対して最大25万ドルを支払うことになった。
パッチを当てたままにしておいてください。でも、パニックにならないでください。
