PR

WIRED WIRED

インテルを悩ませるチップの脆弱性は、“パッチワーク対応”が続く限り終わらない

 ここ数年、インテルは次々と見つかるチップの脆弱性と、それによる機密データ漏洩の危険に頭を悩ませてきた。ところが、こうした脆弱性の一部は、同社の不完全な対応が原因で見逃されてきたものだと研究者たちは言う。インテルのパッチワーク式の対応が続く限り、今後も危険は続くだろう。

TEXT BY ANDY GREENBERG

WIRED(US)

ILLUSTRATION: ELENA LACEY; GETTY IMAGES
ILLUSTRATION: ELENA LACEY; GETTY IMAGES

CPUの深刻な脆弱性として問題になった「Spectre」や「Meltdown」、そしてその変種を利用した攻撃は、チップのセキュリティ確保がいかに難しいかを過去2年にわたって証明してきた。これらの攻撃は、どれもさまざまなプロセッサーをだまし、機密データを吐き出させるものだ。

こうした攻撃を可能にする脆弱性に対して、インテルのような企業がすぐに対応した場合と、1年以上もきちんと対応できなかった場合とでは大きな差が出る。

1年あまり無視されてきた脆弱性

こうしたなか、オランダのアムステルダム自由大学、ベルギーのルーバン・カトリック大学、ドイツのヘルムホルツ情報セキュリティセンター、オーストリアのグラーツ工科大学の研究者らは、インテルのチップに根深く残る脆弱性を利用した新たなハッキング手法を11月12日に公表した。

今回使われた脆弱性は、「ZombieLoad」や「RIDL(Rogue In-Flight Data Load)」「MDS(マイクロアーキテクチャ・データサンプリング)」などと呼ばれる脆弱性の変種だ。

グラーツ工科大学の研究者らが2018年はじめの発見にかかわったSpectreやMeltdownと同様、MDSの変種を利用すれば、ハッカーは標的となるコンピューター上でコードを実行し、プロセッサーから機密データを漏洩させられるという。攻撃シナリオには、被害者のブラウザーで実行されているウェブサイトのJavaScriptや、クラウドサーバー上で実行されている仮想マシン、同じ物理コンピューター上の仮想マシンなども含まれている。

研究者らの指摘によれば、今回のケースは単なるバグではなく、インテル側の重大な不手際だという。新たに見つかったMDSの変種については、研究者たちが2018年9月時点でインテルに警告していたにもかかわらず、同社はその後14カ月にわたってこれらの脆弱性への対処を怠ってきたというのだ。

また、インテルは12日、新たに数十の欠陥にパッチを適用したと発表したが、これらの修正ではMDS攻撃を完全に防ぐことはできないと研究者らは指摘している。そして当のインテルもこれを認めている。

研究者たちが沈黙を守ってきた理由

インテルが最初にMDS脆弱性の一部に対して修正を実施したのは、19年5月のことだった。しかし、自由大学の研究者らは当時、その措置では不完全だとインテルに警告していたという。

続きを読む

あなたへのおすすめ

PR

PR

PR

PR

ブランドコンテンツ