Intelが発表したプロセッサの脆弱性問題で見えてきたIoT機器のセキュリティリスクとは。
この記事は大越章司氏のブログ「Mostly Harmless」より転載、編集しています。
2018年の年明け早々に飛び込んできたこのニュース、驚いた人も多いのではないでしょうか。
これはただならぬことですが、記事に「ソフトウェア/ファームウェアの更新」で回避できると書かれていたため、それほど大事に至らないのではないかと思い、能天気に「こりゃ大変だ」とFBでシェアしていました。
しかし、その後出てきた情報を見たり、よくよく考えてみたりすると、これはやはり、かなり大変なことです。ただ、IntelやApple、Microsoftなどは即座に対策を発表しました。Googleは数カ月前に各社に知らせていたようですね。
その後この記事が出てきました。
脆弱性は2つあり、1つはIntelとARMの一部のプロセッサの問題ということで、おそらく設計上の問題ではないでしょうか。マイクロプロセッサといえども電子回路であり、ソフトウェア同様、「バグ」はあり得ます。Pentiumのバグを覚えている方も多いでしょう。
しかし、もう1つは、なんと投機的実行のメカニズムに関するものだということです。
投機的実行とは、命令を先読みして計算しておくという処理で、うまくいけば高速化につながりますが、途中で分岐などがあると、処理が無駄になります。賭けみたいなもの(だから「投機的」なのでしょうね)ですが、予測をうまくすることで一定の効果が見込めるため、多くのプロセッサで採用されているわけです。
今回、個々の回路設計ではなく、高速化のためのメカニズムのレベルで問題が見つかったことはけっこう衝撃的です。
先の記事の最後にある、本当のリスクはPCやサーバではなく、組み込み機器に搭載されたARMにあるという見方には賛成です。
会社内のPCやサーバであれば、OSベンダーやメーカーもパッチを出すでしょうし、そのパッチを適用しさえすれば問題は回避できます(Windows XPがどうなるかは分かりませんが)。ATMはひょっとすると対応してもらえるかもしれません。
しかし、POS端末やKIOSK端末になってくると、怪しくなります。製造元がなくなっていたりすると対応は不可能でしょうし、あったとしても、全ての面倒を見てもらえるかどうか、難しいところでしょう。ファームやOSの書き換えが遠隔でできればまだしも、サービスマンが行かなければならないとなると、ほぼ不可能ではないでしょうか。クレジットカードデータや暗証番号を取り扱う膨大な数のデバイスが、大きなリスクにさらされているということです。
そしてこの問題はさらに、未来へのある問題に直結しています。そう、IoTセキュリティの問題です。
経産省の「IoTセキュリティガイドライン」には、IoT機器の設計において気を付けるべき事項が挙げられていますが、そもそも部品レベルで脆弱性があると、ベンダーレベルではお手上げです。
しかもプロセッサとなれば、使わないわけにはいきませんし、どれを選んでも同じとなると逃げようがありません。かといって、極小のデバイスに自動アップデート機能を入れることは難しいでしょう。
今回のこの事態は、そういったリスクを明確な形で炙りだしたということができます。何とも大変な時代になったものです。
Copyright © ITmedia, Inc. All Rights Reserved.