Googleのセキュリティチーム「Project Zero」は、AMD、ARM、Intelを含む多数のCPUに影響する脆弱性「Meltdown」と「Spectre」について詳しい情報を公開し、その脆弱性には投機的実行の使用が関係しているとするうわさが事実であることを認めた。

 AMDチップのユーザーにとって重要な情報もある。AMDは今週に入って同社のチップは影響を受けないとコメントしたが、Googleの見解はそれと異なる。

 Googleはブログの記事で、「これらの脆弱性は、AMDやARM、Intelのものを含む多くのCPU、そして、それらを使用するデバイスやOSに影響する」と述べた。

 AMDはその後、同社のプロセッサへの「リスクはほぼ皆無」と考えていると明言した。

 この脆弱性は、Project Zeroの研究者であるJann Horn氏が2017年に発見していたという。これを悪用することで、攻撃者は本来ならアクセス不能であるはずのメモリを読み取ることができる。これにより、仮想マシン(VM)を攻撃して、ホストマシンのメモリを読み取り、そのマシン上でホストされているほかのVMのメモリを読み取ることが可能になる。

 Googleによると、この攻撃には3つの手段があり、それぞれに対して個別にパッチを適用する必要があるという。

 「これら3つの攻撃の変種は全て、通常のユーザー権限のプロセスがメモリデータを不正に読み取ることを可能にする。メモリデータには、パスワードや暗号化キーデータなどの機密情報が含まれることもある」(同社)

 ブログの記事によると、この脆弱性は、CPUのパフォーマンスを最適化するための「投機的実行」というプロセスを悪用したものだという。

 「Windows」「macOS」、Linux向けに、既にこれらの脆弱性のパッチが開発されている。Googleも自社システムへのパッチ提供を急いでいる。

 「Android」向けの対策は米国時間1月5日のパッチに含まれている。またLinuxの修正のため、今後もアップデートがリリースされる予定だ。しかし、多くのAndroidベンダーが自社のデバイス向けのセキュリティアップデートの提供をしない、またはなかなかそれを実行しないことを考えると、Androidユーザーの多くは、新しいスマートフォンを購入するまで、無防備な状態のまま放置される可能性が高い。

 ただし、Googleは「Androidプラットフォームについては、多くのAndroidデバイスで、この脆弱性を悪用するのは困難で、影響も限定的であることが確認されている」と述べている。

 Amazonによると、EC2サービス上の「数%を除く全て」のインスタンスは既に保護されており、それ以外のインスタンスも数時間以内に保護される見通しだという。


提供:Getty Images/iStockphoto
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
https://japan.cnet.com/article/35112721/