火曜日に「ZombieLoad」脆弱性の存在が明らかになり、その後macOSでこの問題が修正されたことで、Macのシステムパフォーマンスが40%低下する可能性があることに一部のユーザーが憤慨しています。確かに大きな影響ではありますが、実際に影響を受けるのはMacユーザーのごく一部であり、大多数の苦情を訴える人々は、我慢する必要のない事態に憤慨しています。
火曜日、研究者らはインテル製プロセッサに存在するメルトダウンやスペクターに類似した脆弱性の詳細を公開しました。この脆弱性は、「ZombieLoad」(インテルはよりセクシーな名称で「マイクロアーキテクチャ・データ・サンプリング」と呼んでいます)と呼ばれる手法によってデータ取得を可能にする可能性があります。適切に処理できないデータをプロセッサにロードすることで、プロセッサは他のアプリからデータを漏洩させる可能性があり、悪意のあるアプリが機密データを取得したり、ユーザーのブラウジング習慣を監視したりするのを事実上可能にする可能性があります。
Appleは月曜日にmacOS Mojave 10.14.5アップデートの一環としてこの問題に迅速に対処し、2011年以降に発売されたすべてのMacを実質的に保護しました。このパッチ自体は、デフォルト状態ではMacのパフォーマンスに目立った影響はありませんが、脆弱性を完全に緩和することはできませんでした。
全開損失
完全な緩和策を適用することで、Mac に問題が及ぶ可能性を完全に排除できますが、その過程でハイパースレッディングが無効化され、Apple の推定によるとシステムパフォーマンスが最大 40% 低下します。このパフォーマンス低下は、Mojave アップデートで完全な緩和策を有効にしたユーザーと、High Sierra および Sierra のセキュリティアップデート 2019-003 をインストールして同様に緩和策を有効にしたユーザーにのみ適用されます。
この潜在的なパフォーマンス低下は、懸念を抱くユーザーから即座に大騒動を引き起こしたが、その怒りは誇張されており、Mac に限ったことではない。
ZombieLoad の概念実証では、Tor ブラウザ上の仮想マシン上でのユーザーのブラウジングを監視できることを示しています。
パフォーマンスの低下は、問題のMacの管理者が緩和策を全面的に導入した場合にのみ問題となります。Macが極秘の作業に使用されている場合、ユーザーが高度な技術を持つ悪意のある人物によるハッキングの標的になる可能性がある場合、あるいはその他の価値に基づく理由がない限り、緩和策を完全にオンにする必要はありません。
また、ハイパースレッディングを無効にすると、Windows システムでも同じ影響が出るため、Microsoft はこれを推奨していません。
サファリと調達
Mac(またはWindows)ユーザーの大多数にとって、緩和策を完全に有効にする必要はありません。Appleの修正に関する注記によると、変更の大部分はSafariに対して行われ、悪意のあるウェブサイト上のJavaScriptを介した脆弱性の悪用を防ぎ、ほとんどのユーザーにとって「測定可能なパフォーマンスへの影響はない」とのことです。
Safariと同様に、脆弱性やマルウェア全般を懸念している人は、macOSのセキュリティ設定を更新して、Mac App Storeからのみアプリをダウンロードするようにすれば簡単に対処できます。Mac App Storeからダウンロードするアプリは、改ざんや改変がされていないことをAppleが保証する署名が付いているため、インターネットから入手するアプリよりもはるかに安全にダウンロードできます。
他のソースからソフトウェアをダウンロードしてはいけないと言っているわけではありませんが、信頼できるソースと悪意のあるソースを見分けることができる熟練したユーザーであれば、脆弱性を悪用したマルウェアをインストールする潜在的な危険を簡単に回避できます。
Safari以外では、他のブラウザ向けのパッチのリリース、そしてインターネットからのダウンロードとインストールに注意を払うことを考えると、この脆弱性を悪用できる最後の手段はMacへの物理的なアクセスのみとなります。率直に言って、その時点ではユーザー側の重大な過失、あるいは国家や組織による高度に洗練された攻撃の領域に入るため、ほとんど誰にも起こり得ない状況です。
Apple社内のAppleInsiderの情報筋(同社を代表して発言する権限はない)は、「月曜日のMojaveパッチには、MDS脆弱性に対する強力な保護機能が含まれています。ユーザーが関連攻撃のリスクが高いと感じる場合は、Mojave、Sierra、High Sierraでハイパースレッディングを完全に無効にできる機能を追加しました」と述べている。
また、この脆弱性は今のところ概念実証攻撃としてのみ公開されており、実行するには高度な専門知識が必要であるという事実もあります。「現時点でmacOSを標的とした『実環境』のエクスプロイトは確認されていません」とAppleInsiderの情報筋は述べ、「今後も確認される見込みはありません」と続けました。
不正政府の汚職を調査するジャーナリスト、スパイ活動の標的となる人物、国家機密を扱う人物、あるいはそれらと同等のレベルの人物でない限り、Macのパフォーマンスを犠牲にしてまで緩和策をすべて利用するメリットはほとんどありません。ほとんどの読者にとって、Safariの修正を含む今回のアップデートは、それ以上の対策を講じなくても、不安を軽減するのに十分なはずです。