現代のCPUに深刻なセキュリティ脆弱性が見つかったことで、主要OSの核となるカーネルソフトウェアの再設計が迫られています。メルトダウンとスペクターと呼ばれるこれらの問題はCPUハードウェア自体に存在するため、Windows、Linux、Android、macOS、iOS、ChromebookなどのOSは、最初に出現した脆弱性から保護する必要があります。さらに悪いことに、脆弱性を塞ぐことでPCのパフォーマンスに悪影響を与える可能性があります。
概念実証型のエクスプロイトがいくつか出回っているとはいえ、一般家庭のユーザーはそれほどパニックになる必要はありません。利用可能なアップデートをすべて(というか、ほとんどを)適用し、いつものようにウイルス対策ソフトを常に最新の状態に保ってください。背景情報を抜きにしてすぐに対策を知りたいという方のために、MeltdownとSpectreからPCを保護する方法を解説したガイドもご用意しています。
MeltdownとSpectreについて知っておくべきことを、分かりやすくまとめました。技術的な詳細を深く知りたい方は、GoogleのCPU脆弱性に関する投稿もぜひお読みください。
編集者注: この記事は最近更新され、Intel が Kaby Lake および Coffee Lake CPU 用の Spectre 修正パッチをリリースしたこと、および Meltdown と Spectre がコンピューターのパフォーマンスに与える影響をチェックするための PCWorld のガイドへのリンクが記載されています。
はっきり言ってください。何が問題なのですか?
ここで取り上げるCPUエクスプロイトは非常に技術的ですが、簡単に言うと、このエクスプロイトは、プロセッサがパフォーマンス向上のために実行する「投機的実行」の処理方法を利用して、オペレーティングシステムの極めて神聖なカーネルメモリへのアクセスを可能にします。攻撃者はこれらのCPUの脆弱性を悪用し、保護されたカーネルメモリ内のパスワード、暗号鍵、個人の写真、メール、その他PC上のあらゆるデータなど、極めて機密性の高いデータを漏洩させる可能性があります。
メルトダウンはより深刻な脆弱性であり、オペレーティングシステムが急いで修正を進めている脆弱性です。Googleによると、この脆弱性は「ユーザーアプリケーションとオペレーティングシステム間の最も根本的な分離を破壊する」とのことです。この脆弱性は、投機的実行を積極的に処理するIntelプロセッサに最も大きな影響を与えますが、一部のARMコアも影響を受けます。
ゴードン・マ・ウンCore i7-8700K のような新しい Intel チップも、Meltdown と Spectre の影響を受けます。
SpectreはIntel CPUだけでなく、AMDおよびARMプロセッサにも影響を与えるため、モバイルデバイスも危険にさらされています。(Spectreがスマートフォンやタブレットに与える影響については、別途FAQをご覧ください。)Spectreは「他のアプリケーションを騙してメモリ内の任意の場所にアクセスさせる」脆弱性で、ハードウェアによる恒久的な解決策は存在しない可能性があります。プロセッサのファームウェアアップデートによって、この問題はある程度軽減できます。Spectre対策には、ソフトウェアの強化も必要です。
カーネルとは何ですか?
オペレーティングシステム内のカーネルは、基本的に目に見えないプロセスであり、ハードウェアと直接通信することで、コンピューター上でアプリや機能の動作を円滑にします。カーネルはオペレーティングシステムに完全にアクセスでき、最高レベルの権限を持ちます。一般的なソフトウェアのアクセスははるかに制限されています。The Registerは次のように説明しています。「カーネルを、雲の上に座り地球を見下ろす神と考えてください。そこに存在し、普通の人間には見えませんが、祈ることはできます。」
自分の PC が危険にさらされているかどうかはどうすればわかりますか?
短い答え:はい。Macであっても可能です。
Googleによると、1995年以降にリリースされた「実質的にすべての」Intelプロセッサは、使用しているOSやデスクトップかノートパソコンかに関係なく、Meltdownの脆弱性を抱えているとのこと。(影響を受けるIntelプロセッサの全リストは、こちらの記事でご覧いただけます。)
AMDプロセッサはMeltdownバグの影響を受けません。Intel、AMD、ARMのチップはSpectre攻撃の影響を受けます。AMDは、チップアーキテクチャの設計により、自社のハードウェアはSpectreの亜種に対するリスクが「ほぼゼロ」であると述べていますが、AMD CPUは別のSpectre脆弱性の影響を受ける可能性があります。
Meltdown と Spectre からすでに保護されているかどうか不明ですか? Gibson Research の簡単で無料の InSpectre ツールを使用すると、必要なオペレーティング システムとプロセッサのアップデートがコンピューターにすでにインストールされているかどうかを確認できます。
Spectre と Meltdown を悪用するマルウェアはありますか?
はい、今のところ深刻な状況にはなっていないようです。独立系ウイルス対策テスト会社であるAV-Testは、これらの脆弱性を悪用するコードサンプルを約139件確認したと報告しています。その中には、ブラウザを攻撃する初のJavaScriptベースの概念実証エクスプロイトも含まれています。アナリストは、マルウェア作成者がこれらの脆弱性を利用してPCを攻撃できるかどうかを検討しているものの、まだプロトタイプ段階にあると考えています。
どうすれば安全を保てますか?
Thinkstockすべてをアップデートしましょう。コンピュータ業界全体が、メルトダウンとスペクターの対策パッチを可能な限り迅速に適用すべく動いています。今すぐ、オペレーティングシステムとウェブブラウザ、そしてCPUのファームウェアもアップデートしましょう。より詳しい情報が必要な場合は、メルトダウンとスペクターの攻撃から身を守るためのガイドを別途ご用意しています。
セキュリティソフトウェアも必ず実行してください。これはIntelも強調しているアドバイスです。MeltdownとSpectreの攻撃は今のところ確認されていませんが、詳細が公開されたことで状況は確実に変化しています。これらの攻撃を仕掛けるには、ハッカーがあなたのPCにアクセスする必要があります。アンチウイルススイートは、悪意のある攻撃者をあなたのPCから守ります。そして、マルウェア感染のリスクを減らすため、信頼できるソースからのみソフトウェアとアプリをダウンロードするようにしてください。
[ さらに読む: Windows PCに最適なウイルス対策ソフト ]
すでに利用可能なパッチは何ですか?
ここで事態は複雑になります。
マイクロソフトは、CPU脆弱性「メルトダウン」がニュースで大きく報道された1月3日に、Windowsの更新プログラムをリリースしました。マイクロソフトの月例パッチ「パッチチューズデー」以外で更新プログラムがリリースされることは稀であり、この問題の深刻さを物語っています。
Intelはプロセッサ向けのファームウェアアップデートも迅速に公開しましたが、Spectre CPU修正プログラムの第1弾は、2011年以降にリリースされたIntel CPUにおいて、システムの不安定化、再起動、そして潜在的なデータ損失や破損を引き起こす可能性がありました。Intelはこれらの修正プログラムの提供を停止しましたが、Microsoftは、Intelの以前のファームウェアアップデートをインストールしてパフォーマンス問題が発生している場合に、それを無効化するオプションの緊急Windowsパッチをリリースしました。Intelはその後、Intel Skylake(第6世代)以降のシステム向けに改訂版パッチをリリースしました。その他のIntel CPUを搭載したPCユーザーは、今のところCPUファームウェアアップデートのインストールを控えるべきです。
プロセッサのファームウェアアップデートが利用可能になったら、Intelではなく、PC、ラップトップ、またはマザーボードメーカー(HPやGigabyteなど)から入手する必要があります。自作PCでSpectre CPUの修正プログラムを見つける方法はこちらです。
アダム・パトリック・マレーMac も Meltdown と Spectre の影響を受けます。
AMDはSpectre対策としてファームウェアアップデートをリリースする予定です。Ryzen、Threadripper、Epyc CPU向けのパッチを最初にリリースし、その後、旧アーキテクチャ向けのパッチもリリースする予定です。ただし、AMDのCPUアーキテクチャはファームウェアアップデートを必要とするSpectre亜種に対するリスクが「ほぼゼロ」であると述べているため、これらのパッチはオプションとして分類されています。
Appleは、12月6日にリリースされたmacOS High Sierra 10.13.2、iOS 11.2、tvOS 11.2において、Meltdownに対する保護をひっそりと実装しました。Linux向けのカーネルパッチも利用可能です。
Chromebookは、12月15日にリリースされたChrome OS 63で保護されました。個々のChromebookへの影響に関する詳細なリストは、こちらでご覧いただけます。さらに、Chromeウェブブラウザ自体もアップデートされ、 「サイト分離」と呼ばれるオプトイン形式の試験運用 機能が追加されました。これはSpectre攻撃からの防御に役立ちます。サイト分離はモバイルデバイスでは扱いが難しく、GoogleはAndroidでは「機能とパフォーマンスの問題」を引き起こす可能性があると警告しています。Chrome 64には、より多くの緩和策が含まれています。
[ さらに読む: 最高のウェブブラウザ ]
他のブラウザもSpectreへの対策を強化しています。Firefox 57は11月に初期の安全対策を盛り込んでリリースされ、EdgeとInternet ExplorerもWindows 10と同時にアップデートされました。Appleは1月8日、iOS 11とmacOSのアップデートをリリースし、「Spectreの影響を軽減するためのSafariとWebKitのセキュリティ強化」を盛り込みました。
NVIDIAは、Spectreに対する初期保護機能を備えたグラフィックカードドライバを迅速にリリースしました。GPUディスプレイドライバはカーネルに深く入り込むため、これは重要な修正です。最新のNVIDIAドライバはこちらから入手できます。
さらに詳しい情報が必要な場合は、PCWorldのMeltdownとSpectreからPCを保護するためのガイドをご覧ください。Gibson Researchの非常にシンプルで無料のInSpectreツールを使えば、PCに必要なOSとCPUのパッチがインストールされているかどうかを瞬時に確認できます。
これらの修正により、PC または Mac の速度は低下しますか?
これは複雑であり、ハードウェア、オペレーティング システム、ワークロードに大きく依存します。
Microsoftによると、Skylake(第6世代Core 6xxxシリーズ)以降のIntelプロセッサーでは、PCID(プロセスコンテキスト識別子)と呼ばれる技術が有効になっており、パフォーマンスへの影響は少ないとのことです。Windowsのバージョンも影響します。また、一部のアプリケーション、特に仮想化やデータセンター/クラウドのワークロードは、他のアプリケーションよりも影響を受けやすいとされています。Intelは、パフォーマンスの低下はワークロードに依存し、平均的な家庭用コンピューターユーザーにとっては「大きな影響はないはず」だと発表しました。
Microsoft は、若干異なる、より微妙なニュアンスのある意見を示しています。
ゴードン・マ・ウンIntel プロセッサには重大なカーネル セキュリティ上の欠陥があります。
Windows の責任者であるテリー・マイヤーソン氏は、第 6 世代、第 7 世代、または第 8 世代 Intel プロセッサを搭載した Windows 10 システムでは「ほとんどのユーザーが変更に気付くとは思わない」と述べています。
Intelは、このPCのようなベストケースPCにおけるパッチ適用後のベンチマーク結果をブログで公開しました。生産性タスクやメディア作成をシミュレートするSYSMark 2014 SEベンチマークでは、平均2~7%のパフォーマンス低下が見られました。しかし、一般的な操作を実行する際のユーザーエクスペリエンスにおける「問題点」を測定する応答性スコアは、なんと14%も低下しました。JavaScriptを多用するWebアプリケーションでは、パッチ適用後に7~10%のパフォーマンス低下が確認されました。これらのテストはSSD搭載システムで実施されましたが、Intelによると、従来のハードドライブを使用している場合はパフォーマンスの低下はそれほど目立たないとのこと。
インテルIntelの「ベストケース」PCにおけるパッチ適用後のパフォーマンス結果。クリックして拡大。
ただし、これらは最良のシナリオです。
第5世代Haswellチップを含む古いプロセッサを使用している場合、「一部のベンチマークではより顕著な速度低下が見られ、一部のユーザーはシステムパフォーマンスの低下に気付くと予想されます」とMicrosoftは報告しています。さらに、これらの古いIntel CPU と古いWindows 7または8オペレーティングシステムを搭載したPCについては、「ほとんどのユーザーがシステムパフォーマンスの低下に気付くと予想されます」と述べています。ビジネスユースケースに関しては、Windows Serverは「Windows Serverインスタンス内で信頼できないコードを隔離する緩和策を有効にすると、パフォーマンスへの影響がより顕著になります」。
「もちろん、何をするかによって大きく異なります」と、Linuxの開発者であるリーナス・トーバルズ氏はLinuxカーネルメーリングリストに記しています。「負荷によっては、ユーザー空間でずっと処理を繰り返すようなものなら、ほとんど影響を受けません。一方、小さなシステムコールを大量に実行するような場合は、2桁もの速度低下が見られるかもしれません。」
PCWorldは、最新のSurface Bookと旧型のBroadwell CPU搭載ノートPCの両方で、Intelのプロセッサファームウェアパッチをテストしました。パッチによるパフォーマンスへの影響は、実行するタスクやPCの構成によって、無視できる程度から非常にひどいものまで様々です。ご自身のシステムでより具体的な結果を知りたいですか?MeltdownとSpectreがPCに及ぼすパフォーマンスへの影響をテストする方法をご紹介します。
ゲームの速度は遅くなりますか?
いいえ、これまでに実行された限定的なテストによれば、これらの情報源は更新された CPU ファームウェアで Meltdown および Spectre パッチをテストしていません。
Phoronix は、Core i7-8700K と Radeon Vega 64 を搭載した Linux 4.15-rc6 マシンでDota 2、Counter-Strike: Global Offensive、Deus Ex: Mankind Divided、Dawn of War III、F1 2017、The Talos Principle をテストしました。いずれのゲームでも、誤差範囲を超えるフレーム レートの変化は見られませんでした。
[ さらに読む: PCゲームに最適なグラフィックカード ]
Hardware Unboxedは、上記のリンク先のビデオでDirectXベースのWindowsゲームをいくつかテストしました。DirectXはWindowsに深く関わっているため、ゲーマーはパフォーマンスの低下を懸念していました。幸いなことに、Hardware Unboxedは Ashes of the Singularity、 Assassin's Creed: Origins、 Battlefield 1でフレームレートの低下がほとんど見られないことを 確認できました。よかった。
前のセクションで引用したIntelの結果には、OSとファームウェアのパッチの両方が含まれています。人気のグラフィックベンチマークツールである3DMark Sky Diverでは、パフォーマンスの低下はほとんど見られませんでした。
AMD プロセッサは影響を受けますか?
ゴードン・マ・ウン/IDGIntelチップに比べると、はるかに少ないです。すべての最新CPUはSpectre攻撃に対して脆弱ですが、AMDは、自社のCPUは構造上、Windows PCのパフォーマンス低下を引き起こす亜種に対するリスクが「ほぼゼロ」であると述べています。AMDはSpectre攻撃から保護するためのCPUファームウェアアップデートをリリースしていますが、これはオプションと分類されています。オペレーティングシステムとソフトウェアのアップデートは、Spectreのもう1つの亜種から保護します。
AMDは、チップ設計のおかげでMeltdownに対する「AMDの脆弱性はゼロ」だと述べています。オペレーティングシステムのパッチによってAMD CPUがMeltdown関連の新たなパフォーマンス制限から除外されれば(Linuxは間違いなく除外されます)、IntelチップとAMDの新しいRyzen CPU間のパフォーマンス競争はさらに熾烈になる可能性があります。
マーク・ハックマンによる追加レポート
