インテル製CPUに新たな脆弱性、2011年以降の「ほぼすべて」に影響
サイバーセキュリティの専門家らにより、インテルのチップに新たに4つの脆弱性が発見された。同社が2011年以降に製造してきたほぼすべてのチップに影響する。
インテルと、世界中の大学やセキュリティ企業の研究者らからなる専門家グループは、4つの脆弱性を公表した。新たな脆弱性は、昨年発見され何十億個というチップに影響を及ぼした「スペクター」や「メルトダウン」といったセキュリティホールに似ている。今回発見された脆弱性がハッカーらに利用されたという証拠は(まだ)存在しない。しかし、それらを利用してあらゆる種類の重要データが盗まれる可能性がある。
新たに発見された欠陥により、ハッカーらはコンピューターの中央処理装置(CPU)を標的とすることが可能になる。CPUは、いわば機械の「頭脳」であり、他の機能を統合する役割を担う。
処理速度を高めるために、CPUは実行を要求される可能性のある処理や必要なデータを事前に推測して実行する「投機的実行」と呼ばれるプロセスを使用している。新たな脆弱性は、スペクターやメルトダウンと同様、投機的実行に携わるCPUへの侵入に使われる恐れがある。「ゾンビロード(ZombieLoad) 」というバグは、侵入者がアプリケーションやクラウドベースのシステムから情報を盗むことを可能にする。「リドル(RIDL:Rogue In-Flight Data Load)」と呼ばれる別の欠陥を利用すれば、チップのメモリを操作して機密情報を取り出し、「フォールアウト(Fallout)」と「ストア・ツー・リーク・フォワーディング(Store-to-leak-forwarding)」はデータを盗んだり、OS(オペレーティングシステム)に侵入したりするために悪用される可能性がある(自身のコンピューターが危険にさらされているかどうか確認したり、今回発見された欠陥についてより詳細な情報を得たりしたい場合は、こちらのオンラインツールが利用できる)。
最善の解決策は、対象となっているインテルのチップすべてを取り外して交換することだ。だがそれには法外なコストがかかるだろう。次善の策として、インテルや他社が開発したソフトウェア・パッチを適用することがある。アマゾンやアップル、グーグルはすでにパッチをリリースしているので、自身が利用しているコンピューターが最新版にアップデートされているかどうか確認しほしい。アップルは、アイフォーン、アイパッド、アップルウォッチには影響はないとしている。一部のセキュリティ研究者は、特定のコアタスクをチップ上で並列実行することで、処理速度を向上させる「ハイパースレッディング」機能を無効にすることを推奨している。
新たな「チップの危機」は、ハードウェアの脆弱性を、いつ、どのようにして一般に公表すべきかという議論を再燃させるだろう。インテルは欠陥を1年前に発見したが、公表プランを作成し、パッチを開発するのに時間を要したと説明している。しかしそれは結局、多くの顧客が、自身の機器が想定以上にハッキングに対して脆弱であったことを、ごく最近になって初めて知ったということにほかならない。