「CPU安全性に穴」波紋 インテル製などにリスク | Just One of Those Things
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

Just One of Those Things

Let's call the whole thing off

「CPU安全性に穴」波紋 インテル製などにリスク

長文になります。

 

----------------------------------------------------------
「CPU安全性に穴」波紋 インテル製などにリスク 
ネット・IT 北米
2018/1/4 23:07日本経済新聞


 【シリコンバレー=佐藤浩実】全てのスマートフォン(スマホ)やパソコンの「頭脳」にあたるCPU(中央演算処理装置)の安全性問題が波紋を広げている。情報を読み取られる懸念があり、CPUはIT(情報技術)機器の基幹部品であるだけに潜在的なリスクの深刻さを指摘する声は多い。米インテルやグーグルなどIT各社は対策を急いでいる。

 

 インテルは3日にこの報道を否定し「特定のCPUの設計の欠陥やバグではなく、アドバンスト・マイクロ・デバイス(AMD)やアームホールディングス、(マイクロソフトのような)基本ソフト(OS)企業なども含めて産業全体で対策に取り組んでいた問題だ」と説明。各社が次々と対策を公表するに至った。

 

 インテルなどによれば、CPU由来の脆弱性は数カ月前にグーグルの研究チームが発見した。

 

 最近のCPUではメーカーを問わず一般的に使われている処理高速化の仕組みに起因するもので、悪意のある攻撃により本来はアクセスできないはずの機密情報が読み取られる懸念がある。3日に電話会見を開いたインテルのスティーブ・スミス副社長の説明によれば、メモリー内のコードの改ざんや破壊はできないという。

 

 グーグルは3日に公開したブログで「これらの脆弱性はAMD、アーム、インテルなど多くのCPUやその上で動作しているOSなどに影響する」とした。

 

 今回の安全性問題では、実際の攻撃が確認されたわけではない。しかし、指摘されているのが、その範囲だ。過去10年以上にわたって供給してきたCPUが対象とされる。数十億個に及ぶとの推測もある。

 

 パソコンからスマホ、クラウドサービスの提供に必要なデータセンターまで、極めて幅広いIT機器に影響を及ぼす恐れがある。これまでIT業界で懸念されてきた脆弱性の問題は「不用意にメールの添付ファイルを開けたため」といったケースや、特定のソフトが対象となることが多かった。たとえば今回、OSがグーグルの「クローム」かマイクロソフトの「ウィンドウズ」であるかなどといった点は関係なく影響が出てしまう可能性がある。

 

 マイクロソフトは「これまでに攻撃が確認された事実はない。半導体メーカーと密接に協力し、クラウドサービスへの対策や『ウィンドウズ』の顧客を守るための更新を展開中だ」との声明を出した。

 

 グーグルは最新のセキュリティー更新を実施している「アンドロイド」の端末は保護されているとした。アームは「協業している半導体メーカーに情報を提供し、チップが影響を受ける場合にソフトの対策を実行するよう促している」と説明した。

----------------------------------------------------------

 

マイクロソフトは更新プログラムを配布しています。

 

----------------------------------------------------------
CPU脆弱性問題、アップルも対策公表 
ネット・IT エレクトロニクス 北米
2018/1/5 11:35 日本経済新聞


 【シリコンバレー=佐藤浩実】CPU(中央演算処理装置)に起因するセキュリティー上の脆弱性が明らかになった問題で、米アップルが4日に対策状況を公開した。

 

 主にインテル製のCPUで指摘されている「メルトダウン」というバグについては基本ソフト(OS)「iOS」や「macOS」の最新版で対策済み。アーム・ホールディングスの設計をベースにしたCPUでも懸念されている「スペクター」というバグは、「今後(ブラウザーの)『サファリ』の更新で対応する」と説明した。

 

 問題は3日に表面化したが、アップルは公式見解を出していなかった。今回発覚したCPUの脆弱性によって「すべてのMacや(iPhone、iPadといった)iOS端末が影響を受けうる」としつつ、「これまでに顧客に影響を及ぼすような悪用はない」とした。

 

 アップルはスペクターに関して、ブラウザーを通じての攻撃を防ぐためにまずはサファリを更新する。その後も脅威を抑えるためのOSの更新を継続するとした。利用者に対しても、悪意のあるソフトを取り込んでしまうのを防ぐため「アップストア」のような正規ルートを通じてダウンロードすることを促した。

----------------------------------------------------------

 

そこで対策です。

 

----------------------------------------------------------
パソコン・スマホどう守る? OS、常に最新状態に 
ネット・IT 北米
2018/1/4 23:25日本経済新聞 電子版


 Q CPU(中央演算処理装置)にどのような問題があったのか。

 

 A 欧米の情報セキュリティー専門家からの報告によると、アプリ間の連携に関連する欠陥「スペクター」は、インテルなど3社に共通する問題だという。もう一つの「メルトダウン」は、アプリと基本ソフト(OS)の間のデータのやり取りに関する欠陥で、現在のところインテルのCPUに固有の問題とされている。

 

 Q 問題を放置すれば、どのような被害が想定されるのか。

 

 A 米グーグルの情報セキュリティー専門家によれば、ハッキングされれば、メモリーに保存しているパスワード、暗号データを解読する電子鍵、機密データなどが盗み出される恐れがある。

 

 Q すでに被害は発生しているのか。

 

 A CPUを標的にした攻撃プログラムは見つかっておらず、被害も報告されていない。またCPUをハッキングするまでとても複雑な手順が必要で、情報を盗み出すまでのハードルは高い。すぐに被害が発生するような状況ではないとの声がある。

 

 経済産業省の関連団体であるJPCERTコーディネーションセンターは、危険性は低いとの見解を出している。ただ攻撃プログラムの開発は水面下で始まっているとみるセキュリティー専門家もいる。

 

 Q どうすればパソコンやスマートフォンを守れるのか。

 

 A 利用者はOSを常に最新の状態に保つことが求められる。このほか、CPUに搭載されたソフトの更新も必要になる可能性がある。インテルなどは業界全体での対策の検討を進めている。

----------------------------------------------------------

 

もっと踏み込んでみましょう。

 

----------------------------------------------------------
Meltdown、Spectreに対する対応パッチのリリース相次ぐ。IT各社はパッチ適用を呼びかけ。
大元隆志  | ITビジネスアナリスト/国士舘大学非常勤講師
1/5(金) 12:12

 

 GoogleのProject Zeroチームが発表した、CPUやJavaScriptに関する脆弱性が大きな波紋を呼んでいる。この脆弱性はIntel、AMD、ARM等、各社のプロセッサ、複数のOSで影響が有り、「Meltdown(CVE-2017-5754)」「Spectre(CVE-2017-5753、CVE-2017-5715)」として報告されている。この脆弱性を攻撃者に悪用されれば、データへのアクセス権限の無い人物がコンピュータの記憶領域(メモリ)に保存されているパスワードや写真、機密情報といった各種データにアクセス出来るようになる恐れがある。

 

 問題の重要度と影響範囲の広さから、IT各社からパッチ適用等が呼びかけられている。主なメーカの対応状況を記載する。

 

 なお、本脆弱性はウェブブラウザのバージョンアップが推奨されているため、一般ユーザであっても利用中のウェブブラウザの対応状況を確認し、対策を実施することを推奨する。

 

■本脆弱性のCVE

 

 本脆弱性に関連するCVEは以下の通り。システム管理者、セキュリティ担当者は一度目を通すことを推奨する。

 

メルトダウン CVE-2017-5754

Spectre CVE-2017-5753、CVE-2017-5715

 

■インテル

 

インテルは今回の脆弱性を、悪用されたとしても、データを破損、改ざん、または削除する可能性は無いとした。

 

インテルでは今回の脆弱性に関して、既にソフトウェアとファームウェアのアップデートの提供を開始しており、一般ユーザ、システム管理者は利用しているコンピュータの製造元や、OS開発元に確認し、パッチの有無を確認するようにとのコメントを発表した。

 

■AWS

 

 Amazonが提供する各種サービスに対してはAmazon側で対応済みだが、一部EC2上で動作しているOSや、AWS WorkSpacesについてはユーザ側での対応も必要とされている。

 

■マイクロソフト

 

 マイクロソフトはWindows、IE11、マイクロソフトエッジ等に対して対応パッチをリリースしている。 

 

■アップル

 

 iOS 11.2、MacOS 10.13.2、およびtvOS 11.2に関して、メルトダウン対策用のパッチをリリースした。

 

 watch OSはメルトダウンの影響を受けない。

 

 Spectreについては、現在Safariの対応バージョンをリリース予定としている。

 

■グーグル

 

 今回の脆弱性は元々グーグル社によって発見された。そのため、グーグル製品の大半は既に今回の脆弱性に対して対処済みだという。

 

 ・対応済み、対応不要のプロダクト

  Google Infrastructure

  Google Apps / G Suite

  Google Home/ Chromecast

  Google Wifi/ OnHub

 

 ・ユーザにてパッチ適用等の作業が必要なプロダクト

  Android

  Google Chrome

  Google Chrome OS (Chromebook等)

  Google Cloud Platformの一部プロダクト

  Google社の対応状況へのリンク。

 

■Firefox

 

 最新版(57.0.4)にて対応済み。バージョンアップすることで対策が完了する。

 

■VMWare

 

 今回の脆弱性対応用パッチがリリースされている。

 

■パッチ適用を疎かにしたために、巨大情報漏えいに繋がったエクイファックス

 

 昨年、サイバー攻撃によって1億4300万人の情報漏洩に繋がったエクイファックス社。この情報漏えいの原因はApache Strutsに対する脆弱性対応を疎かにしたことにより、攻撃者に侵入を許してしまった。パッチ適用は面倒な作業ではあるが、OSやアプリを最新の状態に保つことで、防御出来るサイバー攻撃は多い。IT担当者は自社のIT資産に関して今回の脆弱性の影響度とパッチ適用を実施することを推奨する。

----------------------------------------------------------

 

以上、ご健闘を祈ります。

 

では、恒例のネイチャー関連に移ります。

 

ペタしてね