Spectre／Meltdown問題で脚光　「CPU脆弱性」の影響と対策：CPUパッチ適用以外の5つの対策を整理

影響範囲の広さから世界中のセキュリティ担当者に衝撃を与えた「Spectre」「Meltdown」。これらによって認識が広がった「CPU脆弱性」とは、どのような脆弱性なのか。対策はあるのか。あらためて整理した。

　「脆弱（ぜいじゃく）性」と聞くと、真っ先にソフトウェアの脆弱性を思い浮かべる人が多いだろう。「脆弱性対策」をうたうセキュリティ製品／サービスの大半が、ソフトウェアの脆弱性を対象としている現状が、その証左だといえる。こうした状況に一石を投じるかのように明らかになったのが、CPU脆弱性の「Spectre」「Meltdown」だ。2018年1月、Googleのセキュリティチーム「Project Zero」が公開したこれらの脆弱性は、CPUの高速化をもたらすハードウェアやファームウェアレベルの処理に起因する。

　Spectre／Meltdownは攻撃方法の存在が実証された段階であり、実際の悪用例は現時点までに明らかになっていない。ただし今後も悪用されないとは言い切れず、少なくともCPU脆弱性やその対策について理解しておくことは重要だ。CPU脆弱性は、一般的なソフトウェア脆弱性と何がどう違うのか。その具体的な対策とは。Spectre／Meltdownを例に詳しく解説しよう。

Spectre／Meltdownとは何か

　Spectre／Meltdownは、CPUの処理性能を向上させるための「投機的実行」という仕組みを悪用する。投機的実行は、CPUの処理速度を高めるために、処理の過程でデータを先読みしつつ結果を予測し、処理を進める仕組みのことを指す。Spectre／Meltdownは、この投機的実行の処理の過程で、予測結果を誤ったものに導き、メモリ領域からデータを盗み取ったり、悪意のあるコードを実行したりできるようにする。

　Intel製CPUだけでなく、AMDやArmのCPUもSpectre／Meltdownの対象になる。これらのCPUは、世界に流通しているほとんどのクライアントPCやタブレット、サーバといったデバイスで使用されている。ほぼ全ての企業が、CPU脆弱性のリスクにさらされているといってよい。

CPU脆弱性がもたらす影響

　Spectre／MeltdownなどのCPU脆弱性を狙った攻撃がなされた場合、機密情報が漏えいしたり、デバイスが使用不能になったりする可能性がある。最近明るみに出たFacebookの情報流出事件でも分かるように、本来漏えいしてはいけない情報が漏えいした場合、企業に与える影響は言うまでもないだろう。

　CPU脆弱性攻撃の影響範囲は業種によって異なる。一般企業であれば社内の被害のみにとどまることがほとんどだが、クラウドサービスベンダーやマネージドサービスプロバイダー（MSP）では、サービスのユーザー企業にも広範囲に影響する可能性がある。

　当然ながらデバイスベンダーへの影響も甚大だ。過去に販売したデバイスのうち影響を受ける可能性がある全機種に対してパッチを開発し、テストをした上で配布しなければならない。販売中の機種や今後販売を予定していた機種に対しても、生産工程の見直しが必要になる。

CPU脆弱性対策を考えるに当たって考慮しておくべきこと

　一般的なソフトウェアの脆弱性の場合、ソフトウェアベンダーが脆弱性を修正するパッチを開発し、アップデートまたはパターンファイルの形で配布する。ユーザー企業は自動または手動によりこれらを適用する。

　CPU脆弱性の場合も同様に、IntelなどのCPUベンダーがパッチを開発する。ここでのパッチは、ファームウェアの一種であるCPU制御プログラムの「マイクロコード」を対象としたものだ。通常は、CPUベンダーがユーザー企業にパッチを直接配布することはない。CPUベンダーはデバイスベンダーにパッチを配布し、その後各デバイスベンダーが自社製品にパッチを組み込み、テストをした後、ファームウェアアップデートの流通経路を使って配布する。

　企業では、単一デバイスベンダーの単一機種だけを全社で使用することは、まずあり得ない。通常はさまざまなベンダーの多様な機種が混在しており、導入時期もまちまちだろう。ユーザー企業は、どの機種をいつ購入したのか、どこで何台使用しているのかを正確に把握する必要がある。その上で各デバイスベンダーのパッチ提供状況を常に確認し、提供が始まったら迅速に適用する。

主要なCPU脆弱性対策

　根本的なCPU脆弱性対策としては、マイクロコードのパッチを適用することになる。ただしそれ以外にも企業が取り得る対策がある。主要な対策を以下にまとめた。