まあまあまあまあ、年明けそうそう大変なニュースが飛び込んで参りました。
現在出回っている殆どのコンピューター(スマホ含む)に、セキュリティの問題が発覚したそうです。
とはいえ情報がかなり交錯していますので、皆さん必要に応じて最新の情報を積極的に確保してくださいまし。ここに書いた内容も、どこまで真実か私にもわかりません!(いい加減)
ただ、なんとかわかりやすく書いてみたいと思います。
- 噂される問題は2件、どちらもCPU起因
- 考察
- 実は、セキュリティ問題よりもっと大きな問題が・・・?!
- 1/9追記:インテル社「来週末までに過去5年に製造したプロセッサの9割に更新実行」
- 1/9更に追記:対策パッチを適用すると、AMD社CPUの一部が動かなくなる?!
- 1/10更新:マイクロソフトさん、クラウド環境にうっかりパッチを適用してOffice365 を使えなくしてしまう
- 1/25追記:インテルさん「パッチ当てないで!!(>_<;)」
噂される問題は2件、どちらもCPU起因
今回出ている問題は2件で、どちらも「コンピュータの頭脳」に相当するCPUの構造に起因するもののようです。
このCPUですが、演算速度(計算速度)を向上させる過程で、「投機的処理(投機的実行)」という仕組みが考案されています。
これは、何かの処理を行っている間に「この後こんな処理を行う必要があるだろう」という可能性を先に複数計算しておくことで、処理速度を向上させる仕組みです。
この仕組みは速度向上に効果的なので、今出回っているコンピュータのCPUのほとんどに実装されています。ということは、殆どのコンピューターが今回の問題の影響を受けるってことです。
問題その1:Meltdown (CVE-2017-5754)
まず、問題の1つ目です。これは、「不正プログラム」が「本来アクセスできない筈のメモリ空間」にアクセスできるようになる、というものです。
この原因は、先に書いた「投機的処理」により「パスワードなどの情報」が「メモリ空間(プログラムが動くときに使うメモリ)」に書き込まれることによります。
これにより、「パスワード」や「機密情報」等、保護されたデータが漏洩する可能性があります。
対象となるCPUは、1995年以降に発売された殆どのCPUです。当初「インテルCPUのバグ」と報道されていましたが、インテルにかぎらず同様の問題を抱えています。
逆に、インテル製CPUでも Itanium や Atom には影響が無い模様。
この問題は、OSのパッチ当てで解決することになるようです。ただし、今のところ Windows は Windows10 の一部ケースにしか対応できていない模様。
対策パッチを当てると、ブルースクリーンが出て落ちる!なんて話もあります。恐ろしい。ワクチン系のソフトとの相性問題も出てしまう模様。
問題その2:Spectre (CVE-2017-5753 / CVE-2017-5715)
問題の2つ目です。「不正プログラム」が、「自分のメモリ空間」にアクセスするように「他ソフト」に強制させてしまう?という問題のようです。(ここうまく翻訳できなかった)
こちらも殆どのCPUが対象ですが、対策方法が「WEBブラウザを更新する」という事ですので、こちらの影響は限定的かもしれません。ただし、Javascript からでもこの問題を悪用できるという事です。
考察
錯綜している情報から、可能性を推測してみたいと思います。
なぜハードの問題なのに、OSパッチで回避できるのか
まず、ハード(CPU)の問題であるにもかかわらず、OSのパッチなどで問題を解決できるという謎があります。
逆に、パッチを当てることでCPU性能が最大30%劣化する、という話もあります(古いCPUの場合)。
これらの事象から考えると、OSのパッチというのはおそらく「投機的処理」を行わなくするパッチ?なのではないでしょうか?(なので、PC性能が最大30%劣化する?)
影響を受ける環境は、結局何なのか
今回の問題ですが、個人PC・スマホ・クラウドサーバ・オンプレ(実機)サーバなど、あらゆる環境が影響を受けます。
その一方で、「完全に仮想化された環境は影響を受けない」「AWS(アマゾンのクラウドサービス)は9割方対策済」という情報も入ってきています。
これらの事から推測すると、仮想OSを使った環境は今回の問題の影響を受けない?のではないかと推測しています。となると、実機のCPUやメモリ空間に、直接にはアクセスしないからか・・・?
逆に、クラウド環境でも仮想OSを使っていないケースでは、問題の影響を受ける・・・?
いずれにせよ、Windowsパッチがほとんど配布されていない現状では、正確な続報を待たざるをえない状況です。
くれぐれも、ここに書いたことを鵜呑みにはしないでください。あくまでも「考察」です。
実は、セキュリティ問題よりもっと大きな問題が・・・?!
インテルCEOブライアン・クルザニッチ(Brian Krzanich)氏は2017年11月、2400万ドル(約27億円)相当の同社株式を売却していた。
売却はインテルがグーグルから同社チップの脆弱性を知らされた後に行われた。脆弱性は今週、公になった。
インテルのCEOのクルザニッチさんですが、今回の問題の報告を受けてから発表されるまでの間に、自社株を大量に売却していたそうです。
これインサイダー取引じゃないの?!
CPUの脆弱性すら凌駕する、大変な問題ですよ?!
1/9追記:インテル社「来週末までに過去5年に製造したプロセッサの9割に更新実行」
米Intelは1月4日(現地時間)、前日に影響を認めたプロセッサの脆弱性「Meltdown」と「Spectre」の対策の進捗について発表した。既に同社が過去5年以内に製造した大部分のプロセッサ製品の更新プログラムを発行しており、この作業は来週末までに90%達成する見込みという。
インテル社(interl)が、来週末までに「更新プログラムを発行する」という事です。ただ、謎が多い記事ではあります。
- インテルがリリースするという事は、BIOSか何らかのファームウェア更新?
- それともOS毎に組み込み?(いやインテルはソース知らないでしょ?)
- 「90%」ってことは、残り10%は?
- 5年以上前のプロセッサの対応はどうなっちゃうの?
- 相変わらず、Windows のサーバ系OSの対策どうなるの?
- AMD など他のCPUはどうなっちゃうの?
うーん・・・
1/9更に追記:対策パッチを適用すると、AMD社CPUの一部が動かなくなる?!
数百万台規模のプロセッサに影響があると考えられる脆弱性問題「メルトダウン」「スペクター」について、OSやソフトウェアの開発メーカーがアップデートによる対応を進めていますが、この過程で、AMD製のCPU・Athlonを搭載しているPCを利用しているユーザーから、PCが使用不可能になったという報告が上がってきています。
どうやら Athlon 64 X2 6000+ を搭載したPCでこのパッチを当てると、ブートアップ時に WIndows のロゴが出た時点で固まってしまう事がある模様・・・
続報を待て!!
1/10更新:マイクロソフトさん、クラウド環境にうっかりパッチを適用してOffice365 を使えなくしてしまう
なんか、えらい混乱続いてますね。
今度は、佐賀県庁で Microsoft Office365 が使えなくなるという事案が発生したようです。なんでも、マイクロソフトさんがクラウド環境にコッソリとパッチを当てて再起動かけちゃったようです。そしたら起動しなくなったとか。
大丈夫!コッソリ再起動なら AWS もやってる!(お
1/25追記:インテルさん「パッチ当てないで!!(>_<;)」
すみません1/22の時点で情報が来ていたんですが、更新さぼっとりました。
今回のCPU脆弱性問題のパッチですが、当初AMD製チップの一部でのみ報告されていた「当てると謎のリブートが発生する」という現象が、予想外に多くのチップでも発生するということが判明しました。
このため、インテルが「新しいパッチをこさえるから今出回ってるのは当てるな」とお触れを出しているようです。