プロセッサの脆弱性問題が炙り出した“IoT機器”のリスク:Mostly Harmless
Intelが発表したプロセッサの脆弱性問題で見えてきたIoT機器のセキュリティリスクとは。
この記事は大越章司氏のブログ「Mostly Harmless」より転載、編集しています。
2018年の年明け早々に飛び込んできたこのニュース、驚いた人も多いのではないでしょうか。
これはただならぬことですが、記事に「ソフトウェア/ファームウェアの更新」で回避できると書かれていたため、それほど大事に至らないのではないかと思い、能天気に「こりゃ大変だ」とFBでシェアしていました。
しかし、その後出てきた情報を見たり、よくよく考えてみたりすると、これはやはり、かなり大変なことです。ただ、IntelやApple、Microsoftなどは即座に対策を発表しました。Googleは数カ月前に各社に知らせていたようですね。
その後この記事が出てきました。
脆弱性は2つあり、1つはIntelとARMの一部のプロセッサの問題ということで、おそらく設計上の問題ではないでしょうか。マイクロプロセッサといえども電子回路であり、ソフトウェア同様、「バグ」はあり得ます。Pentiumのバグを覚えている方も多いでしょう。
しかし、もう1つは、なんと投機的実行のメカニズムに関するものだということです。
投機的実行とは、命令を先読みして計算しておくという処理で、うまくいけば高速化につながりますが、途中で分岐などがあると、処理が無駄になります。賭けみたいなもの(だから「投機的」なのでしょうね)ですが、予測をうまくすることで一定の効果が見込めるため、多くのプロセッサで採用されているわけです。
今回、個々の回路設計ではなく、高速化のためのメカニズムのレベルで問題が見つかったことはけっこう衝撃的です。
本当のリスクはIoT?
先の記事の最後にある、本当のリスクはPCやサーバではなく、組み込み機器に搭載されたARMにあるという見方には賛成です。
会社内のPCやサーバであれば、OSベンダーやメーカーもパッチを出すでしょうし、そのパッチを適用しさえすれば問題は回避できます(Windows XPがどうなるかは分かりませんが)。ATMはひょっとすると対応してもらえるかもしれません。
しかし、POS端末やKIOSK端末になってくると、怪しくなります。製造元がなくなっていたりすると対応は不可能でしょうし、あったとしても、全ての面倒を見てもらえるかどうか、難しいところでしょう。ファームやOSの書き換えが遠隔でできればまだしも、サービスマンが行かなければならないとなると、ほぼ不可能ではないでしょうか。クレジットカードデータや暗証番号を取り扱う膨大な数のデバイスが、大きなリスクにさらされているということです。
そしてこの問題はさらに、未来へのある問題に直結しています。そう、IoTセキュリティの問題です。
経産省の「IoTセキュリティガイドライン」には、IoT機器の設計において気を付けるべき事項が挙げられていますが、そもそも部品レベルで脆弱性があると、ベンダーレベルではお手上げです。
しかもプロセッサとなれば、使わないわけにはいきませんし、どれを選んでも同じとなると逃げようがありません。かといって、極小のデバイスに自動アップデート機能を入れることは難しいでしょう。
今回のこの事態は、そういったリスクを明確な形で炙りだしたということができます。何とも大変な時代になったものです。
関連記事
- 連載:「Mostly Harmless」記事一覧
- もはや「OSの自動更新」だけでは守れない? 「Meltdown」と「Spectre」のベストな対策は
新年早々、世間を騒がせている脆弱性、「Meltdown」と「Spectre」。この対応策、ちょっと一筋縄ではいかないようで……。 - iOSやmacOSのアップデート公開、「Meltdown」の脆弱性などに対処
不正なリンクを受信するとiPhoneがクラッシュすると伝えられた問題を修正したほか、macOS SierraとEl Capitan向けのアップデートで「Meltdown」と呼ばれるCPU関連の脆弱性に対処した。 - 脆弱性対策パッチの導入中止を――「リブート問題」でIntelが呼び掛け
Intelは、現在出回っている脆弱性対策パッチについて、「リブートが予想以上に増えるなど、予想外のシステムの挙動を発生させる可能性がある」として、導入の中止を呼び掛けた。 - Intel、脆弱性対策パッチによるリブート増加問題やパフォーマンスへの影響について説明
「Meltdown」「Spectre」と呼ばれるCPUの脆弱性の対策パッチによってリブートが増加する問題や、サーバのパフォーマンスに及ぼす影響を調べたベンチマークの結果について報告した。 - プロセッサの脆弱性、Microsoftの対策パッチでパフォーマンス大幅低下も
Microsoftによると、2015年代以前のプロセッサを搭載したPCや、Windows Serverでは、対策パッチを適用すると、パフォーマンスに相当な影響が出ることが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.