気ままな日記

気に入った出来事があると、すぐにアップする防備録のようなもの

2018年の初めセキュリティネタが発生(Meltdown と Spectre)

本年の正月も実家に帰省しており、4日から仕事始めだなと東京行きの新幹線でふとスマホを眺めていると「CPUに脆弱性。パスワードが盗まれる」という趣旨の記事を目にした。はて?なんのことやろ?と普段ならあらゆるデバイス、情報をあさる私がよほど疲労があったんだろうか、すっ~と見逃してしまった。

 

仕事始めは12月請求書の実績報告などで優先事項がたまっており、かなり忙しく夕方になって他の社員から情報提供があり、そこから騒ぎ始めた次第です。

 

CPUというのはありとあらゆる情報機器(パソコン、スマホタブレット、IoT、サーバ)の頭脳みたいなもので、計算し処理する。外部装置のメモリやディスクなどを使った場合はそこで処理した情報を漏えいさせないよう境界を作っているのだが、今回その境界がMeltdown(崩壊)しSpectre(幽霊)、つまり「speculative execution(投機的実行)」??コンピュータが必要としないかもしれない仕事をさせられてしまうことを現象として引き起こすことをネーミングしたらしい。

 

このCPUというのは、Intelはもちろん、AMD、ARM とほぼ全体の情報機器のCPUとして使われているのだから、こりゃエライこっちゃと(・o・)

 

今回のやつは、WindowsMaciPhone & iPadAndroid の区別をしません。加えてサーバーOSで圧倒的なシェアを持つ Lunux、現在ビジネスモデルでもてはやされている仮想化技術(メインはVMWare)もアウト。

 

じゃ、どうすりゃいいのかと聞くと思いますが、要は 2つの脆弱性に対し、メーカーからパッチが提供されるので真面目に適用すれば問題は発生しない。

 

・Meltdown:OSが対象。(WindowsiOSAndroidなど)からパッチが準備される。一部 CPU 周辺もあるかもしれないが情報を待って必要であれば適用。

・Spectre:いわゆるアプリが対象。多くはブラウザ(Windows だと IE & Edge、Apple系だったら SafariAndroid なら機種毎に標準装備されている「ブラウザ」) ChromeFirefox は単独でパッチを適用する。

※ただし、Spectre についてはパフォーマンスに影響を与えるかもしれないと各メーカーはコメントしている。

 

・・・最初「Meltdown」 と「Spectre」と聞いたとき、なんで原発と007 ジェームズ・ボンド?と思いました。今回の唯一の笑い話です(+_+)