マイキー・キャンベル
· 2分で読めます
アップル、グーグルの親会社アルファベット、インテルは木曜日、議員らに宛てた書簡で、最近明らかになったメルトダウンとスペクターのチップ脆弱性に関する背景情報を少し明らかにし、インテルは欠陥の存在が公表された後にのみ米国のサイバーセキュリティ当局にそのことを通知したと述べた。
ロイター通信によると、 この書簡は、メルトダウンとスペクターの情報開示に関して同議員が投げかけた質問に答えるものとして、下院エネルギー・商業委員会のグレッグ・ウォルデン委員長に送られたという。
特に、ウォルデン氏は、国家安全保障に脅威となる可能性のあるハードウェアの脆弱性が公になる前に、政府当局者にそのことが知らされなかった理由について説明を求めた。
一方、インテルは、メルトダウンとスペクターの脆弱性をハッカーが悪用していなかったため、米国コンピュータ緊急事態対策チーム(US-CERT)への通知を見送ったと述べた。書簡の中でインテルは、政府関係者への通知について、「これらの脆弱性が悪意のある攻撃者によって悪用された兆候は見られなかった」ためだと述べている。
チップメーカーは最終的に、The Register紙がこの件を報じた翌日、そしてGoogleの研究者らが最初にこの欠陥をIntelに報告してから約6カ月後の1月3日に、この脆弱性についてUS-CERTに通知した。
インテルは昨年、グーグルが標準的な慣行として提示した90日間の開示期限内に、他のテクノロジー企業にこの問題を通知した。AMDからの書簡によると、グーグルはその後、この期限を1月3日に、さらに1月9日に延長した。
Meltdown と Spectre は、「投機的実行」と呼ばれる最新の CPU 機能を悪用します。これは、複数の命令を同時に実行することで動作速度を向上させることを目的としたハードウェア設計です。
Appleは1月の声明で、「パフォーマンスを向上させるため、CPUは分岐のどのパスが最も実行される可能性が高いかを予測し、分岐が完了する前であっても、そのパスに沿って投機的に実行を継続します」と説明しました。「予測が間違っていた場合、この投機的実行はソフトウェアから見えない形でロールバックされます。」
これらのプロセスはアプリケーションやエンドユーザーからはアクセスできないはずであるが、Google の研究者は、投機的実行を利用してシステムメモリに保存されている機密情報にアクセスできる可能性があることを発見した。
当初はIntel製シリコンに限定されると考えられていたMeltdownとSpectreは、AppleのAシリーズSoCなどのARMベースチップを含む、すべての最新プロセッサに影響を与えることが判明しました。最初の報告が公開されて間もなく、AppleはすべてのMacおよびiOS CPUがこのセキュリティ脆弱性の影響を受けることを確認する声明を発表しました。
Appleは12月にMacの脆弱性軽減策を開始し、その後のソフトウェアアップデートとセキュリティアップデートにより、1月にiOSデバイスにパッチが適用されました。macOS High Sierraおよび旧バージョンのMacオペレーティングシステム向けの追加修正も先月リリースされました。
