分析プロセッサのセキュリティ専門家(メルトダウンの論文で引用されている専門家を含む)の間では、スペクター脆弱性の解決にはハードウェアの変更が必要か、あるいは導入されているソフトウェア防御で十分なのかという点で意見が分かれている。
対照的に、メルトダウン脆弱性はすでに包括的に防御されているが、パッチ未適用のシステム上のプロセッサの動作を攻撃するマルウェアの標的になる可能性があると専門家は警告している。
「スペクターとメルトダウンの背後にある理論は理解しにくい」と、G-Dataのセキュリティ研究者でプロセッサセキュリティの専門家であるアンダース・フォグ氏は述べている。「過去に使用されたとしても、高度な攻撃に限られていました。しかし、研究結果が公開された今、メルトダウンは比較的速やかに、一般的なマルウェアに悪用される可能性が高いのです。」
Meltdown は Spectre と同様に、単独ではリモート コード実行には適さない情報漏洩の脆弱性であるため、他の攻撃の一部として組み合わされ、パッチが適用されていないシステムからパスワードや暗号化認証情報などの秘密を盗み出すのに使用される可能性があるという懸念があります。
Meltdownは悪用されやすいものの、パッチの適用は比較的容易です。Spectreはどちらの点でもより困難です。ペンシルベニア大学とメリーランド大学の博士研究員であるダニエル・ジェンキン氏は以前、El Reg誌に対し、 Spectreに対する永続的な修正にはハードウェアの再設計が必要だと語っていました。
やったー!Meltdown CPUの修正プログラムがリリースされました。Spectreの脆弱性は今後何年もテクノロジー業界を悩ませ続けるでしょう。
続きを読む
フォグ氏はエル・レグとの電話インタビューでこれに異議を唱え、既に導入されている緩和策によって攻撃の難易度が高まっていると付け加えた。「いずれにせよ、プロセッサのリコールは不可能だ」とフォグ氏は述べ、「次のステップは、顧客にパッチを適用してもらうことだ」と付け加えた。
サイバーラス・テクノロジーのCTOであり、メルトダウンを独自に発見し報告した3つのチームのうちの1つのメンバーであるヴェルナー・ハース氏は、スペクターに対する包括的な保護を実現することは決して簡単なことではなく、ソフトウェアの修正とハードウェアの変更を組み合わせた「継続的なプロセス」が必要になる可能性が高いとエル・レグに語った。
「[Spectre]攻撃のシナリオは、ユーザーコードがカーネルデータを読み取るという単純なものではありません。OSを介さずにアプリケーション間攻撃が発生する可能性も考えられるからです」とハース氏は述べた。「一方で、分岐予測や投機的処理は高性能CPUにとって不可欠な要素であるため、マイクロアーキテクチャによる単純な修正など考えられません。」
そのため、Meltdownのような汎用的な解決策(パイプラインにおける保護情報処理の修正、またはOSの仮想メモリ処理の変更)は実現しそうにありません。結果として、Spectreの脆弱性を補う作業が継続的なプロセスになる可能性があるという注意点を除けば、ハードウェアとソフトウェアを組み合わせた緩和策が期待されます。
スペクターに対する防御には、すでに広く報告されているプロセッサ性能の低下以外のトレードオフも伴うだろうとハース氏は付け加えた。
レガシーソフトウェアのサポート、エネルギー効率の目標、そしてセキュリティ要件の間で妥協点を見出すことになるだろう。Intelが発表した3つの新機能(=MSR)は、一部の問題に即座に対処するのに役立つテスト容易化機能のように思える。しかし、Spectre攻撃への対策としては理想的ではないだろう。長期的には、どのような分岐予測ユニット制御が有用かについて、より広範な議論が行われることを期待したい。
Haas 氏は、プロセッサ設計にセキュリティが最初から組み込まれていなかったことを嘆き、RISC プロセッサ開発時代への郷愁を表明しています。
「一般的に言えば、現在の設計ではセキュリティが後回しになっているのではないかと少し心配しています。今では最優先事項になっているかもしれませんが、もともとセキュリティは「あれば良い」程度のものでした。私はセキュリティを根本から備えたアーキテクチャを夢見ており(そして提案もしてきました)、RISC-Vの開発を綿密に追っています。」
チップベンダーの対応スコアカード
アンダース・フォグ氏は、現代のプロセッサによる投機的実行に伴うセキュリティ問題をいち早く調査した人物の一人であり、メルトダウンやスペクターに関する研究論文に直接貢献していないにもかかわらず、この分野の専門家です。彼はベンダーの対応を「英雄的」と称賛しました。
「開示プロセスの複雑さへの対応と、パッチを時間通りにリリースすることの両面で、対応は驚くべきものだった」とフォグ氏はエル・レグ紙に語った。
ベンダーのセキュリティ担当者や研究者は、昨年6月から何ヶ月もかけて休日も惜しまず働き、新年早々に対策をリリースした「ヒーロー」と称されるに値する。フォグ氏によると、多くの人が「当然ながら疲れ果てている」という。
ハース氏は、情報開示のプロセスは理想的とは言えなかったと述べたが、インテルとARMの全体的な対応を称賛した。
「この問題が長きにわたって秘密にされていたことに対する苦情は、メルトダウンのパッチがつい最近完成したばかりで、長期間にわたり大量のコンピューターが保護されていない状態になっていたであろうことを考慮に入れていない。」
しかし、実装の詳細に関する秘密主義には反対です。企業秘密が絡んでいることは承知していますが、一方で、サイバース・テクノロジーでは、本来であればソリューション領域に集中すべきところを、リバースエンジニアリングに多大なリソースを費やさざるを得ない状況にあります。インテルとのやり取りで経験したような一方通行の情報の流れではなく、共同で取り組む方法があるはずです。
インテルとマイクロソフトが告白:メルトダウンとスペクターがサーバーの速度低下を招く可能性
続きを読む
ハース氏はAMDの問題処理に対してさらに批判的だ。
AMDの反応は全くの失望だった。「対象となるプロセッサに関する詳細な非公開情報を持つ、非常に知識豊富なチーム」という彼らの主張に、私はまだ侮辱を感じるべきなのか、判断に迷っている。
「ええ、もちろん最初の部分は光栄に思います。しかし、サイバース社がインテルでの以前の仕事で得た内部情報を何らかの形で利用したという主張には強く反対します。また、『情報セキュリティは優先事項』としながら、その3文後の研究結果を軽視するというのは、私の目には矛盾しているように映ります。」
CyberusチームによるMeltdownの発見は、セキュリティスタートアップ企業における趣味のプロジェクトとして始まりました。Haas氏は、Meltdownが他の研究者によるプロセッサのセキュリティ上の欠陥発見のきっかけになる可能性があると予測し、この研究はMeltdown/Spectreの発覚以前から既に進められていたことを指摘しています。
「低レベル攻撃の調査を動機付けるのに、メルトダウンの件は必ずしも必要ではないと私は考えています」とハース氏は述べた。「Intelのマネジメント・エンジンやAMDのプラットフォーム・セキュリティ・プロセッサに対する最近の攻撃を見れば明らかです。しかし、x86の実行環境の隅々まで探究することへの関心は高まると予想しています。しかし、研究を成功させるには、多くのセキュリティ専門家が持つ以上のCPU内部の仕組みに関する深い洞察が必要になるでしょう。」®
