画像: トーマス・ライアン/IDG
MeltdownとSpectreの亡霊は、今後何年もコンピューティング業界を悩ませ続けるでしょう。しかし、これらのCPUの脆弱性に対する初期のパッチ適用作業が終わりに近づいた今、GoogleとMicrosoftは、関連する「投機的実行」攻撃であるSpeculative Store Bypass、略してVariant 4を公開しました。(Meltdownと2つのSpectreの脆弱性は、最初の3つのVariantでした。)しかし、慌てる必要はありません。
まずは悪いニュースから。投機的ストアバイパスはIntel、AMD、ARMチップに影響を与えるため、モバイルデバイスも影響を受けます。しかし幸いなことに、Variant 4はChrome、Firefox、Edgeなどのブラウザのランタイム言語を攻撃します。これは以前のSpectre攻撃の1つと同じです。「1月以降、ほとんどの主要ブラウザプロバイダーは、マネージドランタイムにVariant 1の緩和策を導入しました。これらの緩和策により、Webブラウザにおけるサイドチャネル攻撃の難易度が大幅に向上します」とIntelのレスリー・カルバートソン氏は述べています。「これらの緩和策はVariant 4にも適用可能で、一般ユーザーも本日から利用できます。」
つまり、ブラウザを最新の状態に保っておけば、問題ありません。アップデートがリリースされるたびにインストールしていれば、投機的ストアバイパスに対する防御は既に万全になっているはずですが、それでもまだ完全には保護されていません。
ThinkstockIntelプロセッサでこの問題を完全に緩和するには、Spectreと同様に、ソフトウェアとCPUファームウェアのアップデートを組み合わせる必要があります。Intelは、Variant 4のマイクロコードパッチをベータ版でハードウェアパートナーに既に出荷しており、修正を含む新しいマザーボードBIOSが「今後数週間」以内に提供開始される予定だとしています。しかし、Intelはブラウザの修正だけで十分な保護対策だと考えているようです。新しいファームウェアは、投機的ストアバイパスの緩和策がデフォルトで無効になっているとのことです。手動で有効にする必要があるため、今回の修正はIntelの広報活動のような印象を与えます。
Intelは、「有効にした場合、クライアントおよびサーバーテストシステムにおけるSYSmark® 2014 SEやSPEC integer rateなどのベンチマークの総合スコアに基づき、約2~8%のパフォーマンス低下を確認しました」と述べています。以前のSpectre関連のファームウェアパッチでは、特にストレージやその他のI/O負荷の高いタスクにおいて、PCのパフォーマンスが低下していました。
AMD プロセッサの緩和策にはオペレーティング システムのパッチのみが含まれており、投機的ストア バイパスのファームウェア更新は計画されていません。
ブラウザを最新の状態に保つことは、メルトダウン後の世界で安全を確保する方法の一つに過ぎません。詳細については、PCWorldのメルトダウンとスペクターからPCを保護する方法に関するガイドをご覧ください。また、アンチウイルスソフトを常に有効にしておくこともお忘れなく。Intelはブラウザベースの攻撃が成功した事例は確認していないと述べていますが、セキュリティ研究者はCPUの脆弱性を悪用しようとするコードサンプルを検出しています。ハッカーがCPUの脆弱性を悪用するには、PC上でコードを実行できる必要があります。そのため、ブラウザを最新の状態に保ち、アンチウイルスソフトを常に有効にしておくことで、ハッカーから身を守ることができます。PCWorldの最適なアンチウイルスソフトガイドは、ニーズに合ったセキュリティ対策を見つけるのに役立ちます。
