最新情報

セキュリティ・コラム by MM総研所長 中島洋

CPU安全性に穴? 情報保護に新たなリスク

2018年1月30日

 サイバー攻撃者を「撃退する」というのはなかなか難しい。新年早々に、企業の情報を守る担当者としては気になるニュースが世界を駆け巡った。新聞などの見出しは「CPUに脆弱性」と、分かりやすそうである。しかも海外の一部メディアの第一報は「インテルのCPUに脆弱性」とあって、インテルの株価に大きな影響が出た。

 この第一報は誤解を含んだもので、直ちにインテルがこの報道を修整する状況説明を行った。また、関係する他のCPUベンダーやOS提供会社などがインテルの反論を裏付ける発表を相次いで行ったので、おぼろげながら全体像が見えてきた。「脆弱性」はインテルの製品特有のものではなく、業界全体の問題だった。

 説明は技術的な中身に踏み込んでいるので一般の読者には難しいが、専門サイトでは「CPUの投機実行機能に脆弱性発見。業界をあげて対策へ」「Intel、AMD、Armなど多数のCPUが対象」、ただし、「コンシューマでは影響は軽微」とある。最後の「コンシューマでは影響は軽微」とあるのに一般読者はほっとする。

 事態はこういうことのようだ。
 グーグルの研究チームがコンピューターの心臓部に当たるCPUについて、処理を高速化させる投機実行機能(空いているリソースを使って条件分岐の先を予め実行させる)を使う際に、外部からの攻撃を受け、情報を盗まれる可能性があることを発見した。この脆弱性を衝かれて情報漏えいが起きたという事態は確認されていないが、現在のCPUでは一般的に利用されている機能なので影響は大きい。グーグルの指摘を受けて昨年夏ごろからインテル、AMD、アームなどのCPUベンダーやその上でOSを動かすグーグル、マイクロソフトなどのソフトメーカーやアップルなど関係業界の企業が対策を検討してきた。

 その対策の一部が、インテルだけの問題として誤って報道されたようだ。

 各社は2月頃にも脆弱性の存在と対策を同時に一斉発表する準備を進めてきたが、インテルについての報道が誤解を含んで先行したため、正確な情報を発信すべく、対策については「生煮え」のまま前倒しして報道発表、対策を施したソフトのリリースを始めている。

 この脆弱性については、専門のメーカーでは複雑な作業が必要のようだが、一般のユーザー、OSのアップデートで済むようである。企業の情報担当者としては利用者に頻繁に「OSのアップデートを実行する」ように勧め、さらに気になれば各社のサイトから情報を得て、必要な作業をするように、社内に指示する、ということだろう。

 今回のCPUの脆弱性は、攻撃者に気がつかれないうちに発見し、被害のないうちに、潜行して対策を講じつつある。こういう、気がつかないままの脆弱性はあちこちにあるのだろう。万全なCPU、OS、アプリというものは存在しないという、厳粛な事実を認識して、ベンダー各社が提供するリスクに関する情報に注意を向けておかなければならない。

 それにしてもどこに「穴」が見つかるか分からない。攻撃する側が守る側より早くその穴を見つけてシステム内部に入り込む、という危険がいつまでも消えない。保管している情報を守る側としては、システムを守る防衛ラインが突破された後でも情報だけは保護できる手立てが必要になる。

ZenmuTech からのコメント by CTO 友村清

  今まではOSやアプリ等のソフトウェアの脆弱性による情報漏えいが中心であったが 、「CPUの脆弱性」というハードウェアの脆弱性による情報漏えいの危険性が話題に挙がるとは恐ろしい時代になったものである。 今回の「CPUの脆弱性」をついたサイバー攻撃は発生しなかったが、「情報を守る」ということがより困難になってきたことを示す話題である。 「情報」自体をそのままにして「情報を守る」ことは限界に達しており、これからは、 「情報」自身が自らを守る、すなわち、「自己防衛可能な情報」の形にすることが重要となる。 ZENMUの無意味化ソリューションはこれを可能にする技術である。

ZENMUから始まる未来は、こちら

▲ ページトップへ