ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

Meltdown と Spectre の概要

おそらく皆さんは、Intel、ARM、AMD などの主要なチップセットに影響を与える新しい脆弱性のニュ ースを聞いたと思います。つまり、この脆弱性はコンピューティングデバイスを所有しているほとん どの人に影響を与えるものです。

脆弱性について

この脆弱性は、システムがメモリ内の機密データをどのように分離するかに影響します この脆弱 性を悪用すると、攻撃者は同じサーバー上の他の仮想システムからのパスワード、暗号化キー、 または潜在的なデータなどのデータにアクセスできます。

現在、Meltdown と Spectre と呼ばれる特定の脆弱性が 2 つあります。

Meltdown: この脆弱性は悪用するのが最も簡単で、最も注目を集めるものです。 主に Intel のチ ップセットに影響を与え、Microsoft、Apple、およびさまざまな Linux ディストリビューションのオペレ ーティングシステムレベルのパッチで対応されています。 これは、保護されたメモリの値を推測す るために「投機的実行」と呼ばれる方法を使用することによって機能します。 この脆弱性は CVE-2017-5754 が割り当てられています。

Spectre: これは、メルトダウンに似た概念に基づく、より一般化された攻撃であり、メルトダウン攻 撃ではできない方法で Arm および AMD プロセッサに影響を与えます。 これは、メルトダウンの修 正や回避が Specter の攻撃から保護されないことを意味します。 Spectre には、 CVE-2017-5715CVE-2017-5753 が割り当てられた 2 つの別個の攻撃ベクトルが含まれています。

影響を受けるのは誰ですか?

基本的にコンピュータを持っている人なら誰でも。 これには、ラップトップやデスクトップコンピュー タのように使用するローカルデバイスだけでなく、携帯電話やタブレット、IoT デバイスなどが含ま れます。 また、訪問するサーバーやサービス、特に仮想化を提供するクラウドシステムも含まれて います。 この脆弱性は、少なくとも 2011 年以降のチップセットで動作することが確認されており、 1995 年までの CPU に影響を与える可能性があります

インテルのチップセットを使用しているシステムが危険な状態になっています。インテルのチップセ ットを使用するのが最も簡単で、最初に実証されたのはインテルをターゲットとしたものです。 これ はあなたのラップトップがおそらくあなたの電話よりも危険であることを意味します。

どのようにこれを攻撃することができますか?

これらの脆弱性を悪用するには、攻撃者はローカルシステム上でコードを実行する必要がありま す。 これは、さまざまな方法で実行できます。 低レベルまたはほとんど権限を持たないユーザー であっても、ローカルにログインすることで、攻撃者は攻撃を開始できます。 攻撃者は、ローカル システム上で悪意のあるコードが実行されると、リモートから攻撃を開始することもできます。 これ は、ダウンロードされたマルウェアやマルウェアが悪意のある Web サイトや悪意のあるドキュメン トを介して送信されるという形で発生する可能性があります。

それは インターネット上で拡散していますか?

これまでにインターネットで悪用されたものは検出されていません。 これらの脆弱性は、積極的な 攻撃で発見されるのではなく、セキュリティ研究者によって開示されているため、攻撃者は全ての 人が気づくまでこれらの脆弱性を認識していない可能性があります。 これは、Proof-ofconcept(実証実験)がすでにインターネット上に書き込まれているため、すぐに変わるでしょう。 お そらく、これらの脆弱性がマルウェアやローカル攻撃で悪用されるのを見るまでは時間の問題で す。

解決策は何ですか?

これらの問題はハードウェアに関連しており、特定のソフトウェアに依存して大きく異なるため、完 全な修正は複雑になり、ここに入るのに時間がかかる可能性があります。 幸いなことに、 Meltdown は悪用しやすくなりますが、それはまた扱いやすくなります。 Spectre はパッチを当てる のが難しいですが、悪用するのはずっと困難です(今のところ)。

現在、Microsoft、Apple、Linux などの OS ベンダーは、Meltdown 攻撃に対する保護を提供するパ ッチをリリースしています。 これらのパッチは共有カーネルマッピングを削除して保護されたメモリ 内の値を予測できないようにします。 残念ながら、この機能を削除することによって、多くの処理 効率も取り除かれます。 これにより、これらのシステムのパフォーマンスがいくらか低下します。 その減少は、ソフトウェアがこのメモリアクセスにどのように依存しているかによって異なりますが、 現在の見積もりでは、ソフトウェアのパフォーマンス全体で 5%〜30%の低下が見込まれます。

インテルは、ファームウェアのアップデートをリリースしましたが、誰かがダウンロードできるシンプ ルで汎用的なパッチとしてファームウェアのアップデートが行われるという誤解があるようです。 こ れは真実とはほど遠く異なります。 リリースされているファームウェアアップデートの最大の問題 は、ファームウェアがベンダーとモデルに依存することです。 インテルは、異なるチップごとに複数 のファームウェアアップデートを開発しています。 これらのファームウェアアップデートは、HP や Dell などのコンピューターベンダーに配布され、HP や Dell は、販売するコンピュータのモデルごと にテストして顧客にリリースする必要があります。

たとえば、インテルのファームウェアアップデートの入手方法に関するページがあります。 基本的 に、個々のコンピュータベンダのサイトへのリンクを提供しています。 https://www.intel.com/content/www/us/en/support/articles/000025619/software.html
たとえば、Dell のリンク先ページを見ると、モデルに依存する数十種類の更新が表示されます。
踏んだり蹴ったりですが、ほとんどのファームウェアの更新は、マシンの前に物理的に人を必要と し、システムに直接インストールする必要があります。 すべてのユーザーにインストールの指示 (および多数の祈り)を持つ USB スティックを送信するか、または IT 担当者をすべての端末に送 信するかどうかにかかわらず、プロセスがどのくらい煩雑で複雑になっているかがわかります。 ベ ンダーやモデルの異なる企業艦隊にどのような更新が必要であるかを把握することも圧倒的な作 業となります。 これを、MS、Apple、Linux などのソフトウェアパッチの必要性と組み合わせると、す べての企業の IT 部門は、この問題に関して近い将来、加熱状態になります。

その間、マルウェアを防止するために現在推奨されているすべてのものがここに適用されます。 不審な電子メールの添付ファイル、ドキュメント、Web サイトは避けてください。 長いパスワードと 複雑なパスワードを使用して、権限のないユーザーがシステムにアクセスしないようにし、パッチを 適用してソフトウェアを最新の状態に保つようにしてください

その他のリソース
FAQ および技術資料:https://meltdownattack.com

SpiderLabs は、より多くの情報が公開されるにつれて、これらの脆弱性に注目していきます。