プロセッサのカーネルバグに関するニュースはIntelが独占しているかもしれませんが、危険にさらされているのはWindowsとMacだけではありません。Meltdownに加えて、iOSやAndroidのスマートフォン、タブレット、その他のデバイスに搭載されているモバイルARMプロセッサに影響を与える「ブランチターゲットインジェクション」の脆弱性「Spectre」も存在します。この脆弱性によって、ユーザーのデータが漏洩する可能性があります。この脆弱性について、これまでにわかっていることをすべてご紹介します。
この投稿は、iOS 11.2 および macOS の Safari アップデートへのリンクを追加して更新されました。
[ さらに読む: メルトダウンとスペクターに関する FAQ: Intel CPU の欠陥の修正により PC と Mac の速度が低下する可能性がある ]
待ってください、今度は私の携帯電話も危険にさらされているのですか?
まあ、そうですね。GoogleのProject Zeroチームは、CPUセキュリティに関する大規模な調査の一環としてSpectreバグを発見し、すでにリスク軽減策を講じています。しかし、たとえ脆弱なスマートフォンをお持ちであっても、Googleは「ほとんどのAndroidデバイスでは、悪用は困難で限定的であることが示されている」と述べています。
さらにAppleは、すべてのiPhoneとiPadもSpectreの影響を受けるものの、「悪用は極めて困難」だと述べている。また、MeltdownバグもiOSデバイスに影響を与えるとしているが、先月iOS 11.2の一部として緩和策がリリースされている。
アダム・パトリック・マレー/IDG自動更新がオンになっている限り、Google Pixel 2 XL にはすでにパッチが適用されています。
一部の携帯電話は他の携帯電話よりもリスクが高いのでしょうか?
全体的なリスクは同じですが、新しいAndroidスマートフォンは古いものよりもはるかに安全です。12月にリリースされたGoogleの最新セキュリティパッチには、「ARMプロセッサの既知のすべてのバリアントに対する攻撃を制限する高精度タイマーへのアクセスを制限する緩和策が含まれています」。つまり、すべてのPixelスマートフォン(自動更新が有効になっている場合)、Nexus 5Xと6P、そしてPixel Cタブレットにパッチが適用されているということです。
Apple によれば、iOS 11.2 を実行しているすべての iPhone に対して Meltdown 緩和策がリリースされており、Spectre 緩和策も現在リリース中とのことです。
Google 以外の携帯電話ではどのように修正できますか?
Meltdownと同様に、Spectreはソフトウェアによってのみ軽減できます。一部の新しいAndroidスマートフォン(Samsung Galaxy S8およびNote 8の一部バージョンなど)は既にGoogleの12月のセキュリティアップデートを受けており、他のメーカーもAppleのiOSデバイスと同様に、今後数週間以内に独自のアップデートの提供を開始する予定です。しかしながら、多くのAndroidスマートフォンは依然として脆弱性を抱えたままとなる可能性が高いでしょう。
携帯電話がアップデートされなくなったらどうなりますか?
ハッカーは、スマートフォン上の本来安全なアプリを騙して、パスワードや暗号化キーなどの個人情報を盗み出す可能性があります。しかし、Spectreがリモートで実装または起動される可能性は低いため、攻撃者はロック解除されたスマートフォンにアクセスする必要があります。
さらに、サンドボックス化されたJavaScriptコードを使用してブラウザの脆弱性を悪用することも可能です。GoogleはChromeをアップデートし、Appleも近日中にSafariをアップデートしてリスクを軽減する予定で、すべてのスマートフォンとタブレットが保護されることになります。
マーティン・ウィリアムズ/IDGNSAppleによると、すべてのiPhoneが危険にさらされているという。
私の iPhone は Spectre CPU 欠陥の影響を受けますか?
端的に言えば、はい。AppleはすべてのiOSデバイスがSpectreバグの影響を受けると述べていますが、Spectreに対するOSレベルの保護策はまだリリースされていません。しかし、リリースに向けて準備は進んでいます。1月8日、AppleはiOS 11とmacOSのアップデートをリリースし、「Spectreの影響を軽減するためのSafariとWebKitのセキュリティ強化」を盛り込みました。
私の iPhone は Meltdown CPU 欠陥の影響を受けますか?
Appleによると、メルトダウンバグはiOSデバイスにも影響を与えるとのことです。iOS 11.2を実行しているiPhoneには、起こりうる攻撃から保護するための緩和策が適用されていますので、デバイスを必ずアップデートしてください。
アップデートがリリースされると携帯電話の速度が低下しますか?
このパッチはパフォーマンスに目立った影響を与えていないようですが、スマートフォンではPCに比べてパフォーマンスの測定がはるかに困難です。Googleは、Retpolineと呼ばれる新たな緩和策を開発し、「パフォーマンスへの影響は無視できる」状態で攻撃から保護すると発表しました。同社はこのパッチを自社システムに導入し、業界パートナーと共有しました。また、AppleはiOSとSafari向けにリリースしたアップデートによって「測定可能なパフォーマンスの低下は見られなかった」と述べています。
iPad と Apple TV は影響を受けますか?
はい、その通りです。iOS 11.2はiPadのMeltdownのリスクを軽減し、tvOS 11.2はApple TVの同様の対策を講じています。Spectreの緩和策も開発中です。
Apple Watchはどうですか?
Appleは、Apple WatchはMeltdownの影響を受けないと発表しました。Spectre対策は進行中です。
Google Home と WiFi はどうですか?
Google によれば、これらのデバイスは Spectre バグの影響を受けないという。
