世間を騒がす「プロセッサ脆弱性」 何が本当の問題なのか(1/3 ページ)
2018年の年明け早々、新たに発見された「プロセッサの脆弱(ぜいじゃく)性」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。
始まりは、英IT情報サイトのThe Registerが公開した1月2日(現地時間)の記事だ。「Intelプロセッサのバグが発見され、ハードウェアの変更が必要であり、ソフトウェアでのセキュリティ対策はパフォーマンスの大幅な低下を引き起こす」との内容で、このニュースが駆け巡って世間を騒がせた。
その後、Googleはこの脆弱性の情報ページを公開し、Intelが「同様の脆弱性はAMDやArmにもあり、対策で協力中」と発表。Microsoftが「セキュリティ対策による性能への影響は一般ユーザー(コンシューマー)では限定的」と報告するなど、関係各社がその影響や対策について、次々と情報を公開しており、一連の騒動の概要が判明してきた。
今回のこの騒動で何が問題とされているのか、実際の影響はどの程度なのか、一般ユーザーはどう対応すればいいのか、という点に絞って概要をまとめたい。
「Meltdown」「Spectre」と名付けられた脆弱性
The Registerの報道直後、この問題を追いかけている米Googleの脆弱性調査チームProject Zeroがブログを公開し、IntelやAMD、Armの“モダン”なプロセッサに存在する潜在的な脆弱性問題を報告した。
当初はMicrosoftがWindows向けの定例セキュリティパッチを配布している第2火曜日(1月9日)をめどに問題と対策を公表する計画だったが、前述の報道が先行したことの悪影響を鑑みて前倒して情報公開したようだ。
報告されている脆弱性は下記の3つ。「Variant 1」と「Variant 2」については「Spectre(スペクター)」という名称が、「Variant 3」には「Meltdown(メルトダウン)」という名称がそれぞれ付与された。前述のブログには論文へのリンクも記されている。
- Variant 1(CVE-2017-5753):境界チェックのバイパス
- Variant 2(CVE-2017-5715):分岐ターゲットのインジェクション
- Variant 3(CVE-2017-5754):不正なデータのキャッシュ読み込み
またオーストリアのグラーツ大学の研究者も同様の報告をし、関連情報のまとめサイトを開設している。
Meltdown(Intel、Arm Cortex-A75のプロセッサに影響)
Meltdownはキャッシュメモリの挙動を利用することで、本来は実行中のアプリケーションからは見えないメモリの保護領域(例えば、同時実行されている他のアプリケーションのメモリ)へのアクセスを可能にしてしまうという脆弱性だ。
データの改ざん等は行えないものの、メモリの内容を制限なしにのぞくことが可能になるため、個人情報やパスコードなどの重要情報を盗まれる危険性がある。
この現象は2010年以降のIntel Coreプロセッサで確認されている他、それ以前のプロセッサでの可能性も指摘されている。一方で、AMDやArmベースのプロセッサでの現象は現時点で確認できなかったと論文では触れられている。
このようにIntel固有の問題とみられていたMeltdownだが、Armがほぼ同じタイミングで公開した技術文書によれば、「Cortex-A75」のみ「Variant 3」に該当することが触れられている。Cortex-A75は2017年5月に発表されたCPUコアで、発売中の製品に搭載例はないので、Meltdownの影響はIntelプロセッサに限定されると言える。
この問題はOSへのパッチ適用で対応可能だ。これを受けてIntelが公開した文書では、「将来のIntelプロセッサでハードウェア上の対策を施したものをリリースする」と表明しており、現状でソフトウェアアップデートが施されたシステムについては、大きな問題はないと考えられる。
Spectre(Intel、AMD、Armのプロセッサに影響)
もう少し厄介な問題となるのがSpectreだ。これは比較的“モダン”な高性能プロセッサではほぼ採用されている「投機実行(Speculative Execution)」のメカニズムにある脆弱性を悪用した攻撃となる。
テクニック的にはMeltdownの不正なデータのキャッシュ読み込みよりも悪用が難しいものの、投機実行の仕組みそのものを利用する攻撃のため、アーキテクチャにかかわらず影響範囲が非常に広い。
実際、IntelとArmが報告している他、AMDも文書を公開して対応を促している。つまり、現状で市場に出回っているPCからサーバ、スマートフォン、各種スマートデバイスまで、そのほとんどがSpectreの潜在的な攻撃対象となり得るのだ。
こちらはOSへのパッチの他、対策済みのアプリケーションを利用することで問題を回避できる。
現在のところ、MeltdownもSpectreも脆弱性を悪用されたとの報告はない。ただ、Spectreについては報告済みの3社のプロセッサに加えて、各種Armコアを採用したライセンス品や、投機実行を採用した他のプロセッサアーキテクチャにも問題が存在する可能性が高く、幾分か影響範囲が広いと考えていいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- きょう発売の「MacBook Neo」、もうAmazonで割安に (2026年03月11日)
- 新品は絶滅、中古は高騰──「令和にMDを聞きたい」と願った筆者が、理想の再生環境を整えるまでの一部始終 (2026年03月13日)
- M5 Max搭載「14インチMacBook Pro」がワークステーションを過去にする 80万円超の“最強”モバイル AI PCを試す (2026年03月13日)
- 12機能を凝縮したモニタースタンド型の「Anker 675 USB-C ドッキングステーション」が27%オフの2万3990円に (2026年03月11日)
- セールで買った日本HPの約990gノートPC「Pavilion Aero 13-bg」が想像以上に良かったので紹介したい (2026年03月11日)
- 3万円超でも納得の完成度 VIA対応の薄型メカニカルキーボード「AirOne Pro」を試す キータッチと携帯性を妥協したくない人向け (2026年03月12日)
- ワコム上位機に肉薄? 10万円で18.4型4K! 高コスパ液タブ「GAOMON Pro 19」の長所と弱点 (2026年03月13日)
- 「MacBook Neo」を試して分かった10万円切りの衝撃! ただの“安いMac”ではなく絶妙な引き算で生まれた1台 (2026年03月10日)
- 高音質・良好な装着感・バッテリー交換式――JBLのフラッグシップ「Quantum 950 WIRELESS」は妥協なきヘッドセットか (2026年03月12日)
- JBL、高機能ノイズキャンセリング機能を備えたワイヤレスヘッドフォン「JBL Live 780NC」「JBL Live 680NC」発表 (2026年03月13日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。