最新のSpectreに似たCPUセキュリティ脆弱性「ZombieLoad」を防ぐために、Intelのハイパースレッディング機能を無効にする方法を知りたくて焦っているなら、ちょっと待ってください。Intelの公式ガイダンスでは、 実際にはそれを推奨していません。でも、残念なことに、私たちがお伝えした内容はどれも、あなたの気持ちを少しも和らげるものではありません。
ZombieLoadは、Intelプロセッサを騙して、本来はCPUによって秘匿されている機密性の高い情報を漏洩させる、従来の「サイドチャネル」攻撃に類似しています。ZombieLoadの研究者によると、このエクスプロイトはほとんどのIntelチップに影響を及ぼし、Windows、macOS、Linuxで利用可能とのことです。ARMベースおよびAMDベースのCPUは影響を受けません。
「プログラムは通常、自身のデータしか参照できませんが、悪意のあるプログラムはフィルバッファを悪用して、他の実行中のプログラムが現在処理している機密情報を取得する可能性があります」と、このエクスプロイトの発見者は述べています。「これらの機密情報は、ブラウザの履歴、ウェブサイトのコンテンツ、ユーザーキー、パスワードといったユーザーレベルの機密情報、あるいはディスク暗号化キーといったシステムレベルの機密情報である可能性があります。」
ゾンビロードZombieLoad のロゴ。
インテルは、このエクスプロイトの能力については同意したものの、ZombieLoadがもたらすリスクのレベルを軽視しました。また、このエクスプロイトを「Microarchitectural Data Sampling(MDS)」と命名することに決めました。これは、それほど恐ろしい響きではありません。
「MDS技術は、CPU内の小さな構造からローカルで実行される投機的実行サイドチャネルを用いて漏洩したデータのサンプリングに基づいています」と同社は述べています。「MDSの実際の悪用は非常に複雑な作業です。MDSだけでは、攻撃者が漏洩するデータを選択する方法を提供しません。」
インテルは、オペレーティング システム、ファームウェア、ハードウェアの緩和策によって多くの問題が解決されていると述べています。
「マイクロアーキテクチャ・データ・サンプリング(MDS)は、当社の最近の第8世代および第9世代インテル Core プロセッサー、そして第2世代インテル Xeon スケーラブル・プロセッサー・ファミリーの多くにおいて、ハードウェアレベルで既に対策済みです」と同社は声明で述べています。「影響を受けるその他の製品については、マイクロコードの更新に加え、本日より提供開始されるオペレーティングシステムおよびハイパーバイザーソフトウェアの対応する更新によって緩和策が提供されます。当社はウェブサイトで詳細情報を提供しており、システムを最新の状態に保つことがセキュリティ維持のための最良の方法の一つであるため、引き続き皆様にシステムを最新の状態に保つことを推奨しています。」
ゴードン・マ・ウンIntel の役員らはまた、ZombieLoad 研究チームが、この脆弱性を公表する前に、同社や PC 業界の他の組織と協力して修正プログラムを導入していたことを積極的に強調した。
「私たちと協力してこれらの問題の協調的な開示に貢献してくれた研究者と業界パートナーに感謝の意を表したいと思います。」
ハイパースレッディングをオフにしますか?
ZombieLoad の発見者は、この脆弱性を詳細に説明した文書の中で、最も簡単な修正方法は Intel プロセッサのハイパースレッディングをオフにすることだと述べています。
「ZombieLoadはロードされた値を論理コア間で漏洩させるため、ハイパースレッディングの使用を無効にすることが最も簡単な緩和策です。ハイパースレッディングは、特定のワークロードのパフォーマンスを30~40%向上させます。」
しかし、Intelは、それが必ずしもすべてのPCユーザーにとって唯一の答えではないと述べています。実際、Intelは、どうするかは各ユーザーが決めることだと述べています。ソフトウェアの信頼性が保証されていない場合は、ハイパースレッディングを無効にしてもよいかもしれません。ソフトウェアをMicrosoft StoreやIT部門からのみ入手する場合は、ハイパースレッディングをオンのままにしておいても問題ないでしょう。それ以外の場合は、どの程度気にするかによって大きく異なります。
「これらの要因は顧客によって大きく異なるため、インテルはインテル HT を無効にすることを推奨していません。また、無効にするだけでは MDS に対する保護が得られないことを理解することが重要です」とインテルは声明で述べています。
インテルこれまでのところ、オペレーティング システム ベンダーの反応は分かれています。
GoogleはChrome OS向けのパッチをリリースし、影響を受けるChromebookでハイパースレッディングをデフォルトで無効にしました。Googleによると、ハイパースレッディングを再び有効にしたい場合は、自分で設定できるとのことです。
AppleはmacOS Mojaveのアップデートをリリースし、セキュリティに敏感なユーザーは必要に応じてハイパースレッディングをオフにできると発表しました。この機能はデフォルトで無効化される予定はないようです。
マイクロソフト社は、問題を軽減するためにソフトウェアパッチをリリースしたと述べたが、顧客はPCメーカーから更新されたファームウェアを入手する必要もあるとも述べた。
一部のオペレーティングシステムベンダーがエンドユーザーに判断を委ねることを決定したことで、ZombieLoadの脅威は火曜日の朝に最初に思われたほど深刻ではなくなったことは明らかです。このエクスプロイトが実際の攻撃に使用された事例はまだ確認されていません。
インテルインテルは、テストではソフトウェアとファームウェアの緩和策によるパフォーマンスの違いはほとんど見られなかったと述べた。
ハイパースレッディングを少しずつ削減したり、完全に無効化したりすることは、Intelプロセッサのパフォーマンスに大きな打撃を与えるでしょう。しかし、Intelが公開している資料の一部を見ると、その効果は信じられないかもしれません。
同社はファームウェアとソフトウェアによる緩和策をテストし、適用後のパフォーマンスへの影響は比較的小さいと発表しました。これは驚くべきことではありません。SpectreとMeltdownの脆弱性に対する修正は、特定のワークロードを除けば、大部分が大した効果はありませんでした。
ハイパースレッディングを失うことは大きな問題となる
インテルがハイパースレッディングを無効化しても大したことではないと述べている点に、私たちは強く反対します。インテルも同様に、ハイパースレッディングを無効にしても何も問題ないという姿勢を示しています。
インテルインテルがハイパースレッディングを無効にしたデスクトップとノートパソコンのテストで、パフォーマンスの低下についてかなり楽観的な見方を示しました。しかし、私たちはこれに強く反対します。
Intelのテストで問題となるのは、特にマルチスレッドのワークロードを使用していないことです。もしIntelのテストでBlenderやCinebenchなどのマルチコアCPUテストを使用していたら、パフォーマンスが即座に大幅に低下していたはずです。
ハイパースレッディングの価値を改めて示すと、500ドルのCore-i9 9900Kと375ドルのCore i7-9700Kの主な違いはハイパースレッディングです。マルチスレッド性能を必要とするユーザーにとって、Intel CPUでハイパースレッディングをオフにすることは全く意味がありません。
慌てないで
唯一の救いは、最新かつ最高のIntel CPUを搭載しているユーザーです。Intelによると、最近の第8世代および第9世代プロセッサの多くにはすでにハードウェア修正が施されているため、Core i9-9900Kでハイパースレッディングをオフにする理由は全くありません。ZombieLoadの危険性は、どうやらやや古いCPUを搭載したPCにのみ当てはまるようです。これらのシステムのユーザーは、リスクを低減するためにファームウェアとソフトウェアのアップデートに頼る必要があり、また、ZombieLoadエクスプロイトを悪用した既知の攻撃が今のところ発生していないことを祈るしかありません。
