Spectre は、現代の CPU の投機的実行エンジンに存在する、機密データを盗むために悪用される可能性のあるセキュリティ上の脆弱性であり、IT の世界で静かに消滅することは決してありません。
その歓迎されない持続性は、チップ アーキテクチャに緩和策を実装するために必要な長いリードタイムの結果だけではありません。新しい攻撃手法を刺激する能力によっても持続されます。
これらの最新のものは、月曜日にカリフォルニア州サンディエゴで開催されたネットワークおよび分散システムセキュリティ(NDSS)シンポジウム2019で発表された論文に掲載されました。
米国コロラド大学ボルダー校のコンピュータサイエンスの研究者3人、ジャック・ワンプラー、イアン・マルティニー、エリック・ウストロウが共同執筆した論文「ExSpectre: 投機的実行でマルウェアを隠す」では、悪意のあるコードを一見無害なペイロードバイナリにコンパイルし、投機的実行によって検出されることなく実行できるようにする方法について説明している。
投機的実行は、アウトオブオーダー実行や分岐予測と並んで、パフォーマンス向上のために現代のプロセッサで使用されている技術です。CPUは将来の命令を推測して実行し、プログラムパスを正しく推測できた場合は結果を保持して時間を節約し、そうでない場合は結果を破棄します。
しかし、昨年のSpectre脆弱性は、こうした将来予測的な計算から生じる機密性の高い一時データが盗み出され、悪用される可能性があることを示しました。そして今、このチップアーキテクチャの特徴が、「投機的世界」における悪意のある計算を隠蔽するために利用できることが判明しました。
データを吐き出すSpectreチップの欠陥はソフトウェアだけでは修正できないとGoogleの研究者は結論づけた
続きを読む
ボルダーを拠点とする研究者たちは、ペイロードプログラムとトリガープログラムが相互作用して隠蔽された計算を実行する方法を考案しました。ペイロードとトリガープログラムは、一般的な攻撃ベクトル(トロイの木馬コード、リモートエクスプロイト、フィッシングなど)を通じてインストールされ、同じCPU上で実行される必要があります。トリガープログラムは、ペイロードへの特別な入力、またはペイロードプログラムと相互作用する常駐アプリケーションの形態をとることもできます。
「別のトリガープログラムが同じマシン上で実行されると、CPUの分岐予測器が誤作動を起こし、ペイロードプログラムが悪意のあるペイロードを投機的に実行し、その結果がペイロードプログラムの残りの部分に伝えられて、実際の動作が変化する」と論文は説明している。
その結果、ステルスマルウェアが誕生しました。これは、現在のセキュリティエンジンのほとんどが用いる静的解析や動的解析ではアクセスできない一時的な環境で実行されるため、現在のリバースエンジニアリング技術では検出できません。トリガープログラムが検出され削除されたとしても、ペイロードコードは動作し続けます。
しかし、この手法には限界があります。他の制約の中でも、悪意のあるコードは100から200程度の命令でしか構成できません。また、データ取得速度もそれほど速くありません。研究者たちは、データの正確性を確保するために20回の冗長反復処理を前提とすると、1KBのデータを5.38Kbpsの速度で復号し、持ち出すことができる投機的なプリミティブを考案しました。
これらの制約に対応し、効率的なマルウェアを作成するために、科学者たちはカスタム エミュレーターと SPASM (Speculative Assembly) と呼ばれる 6 ビット命令セットを考案しました。
「SPASMを使うことで、開発者はプログラムを作成し、それをアセンブルしてペイロードプログラムに暗号化することができます」と論文は説明している。「関連するトリガープログラムが実行されると、ペイロードは投機的世界でSPASM命令を復号し、それらを一つずつ実行します。」
コロラド州のコンピューター学者たちは、Spectre関連の問題を調査してきた他のセキュリティ研究者と同じ結論に達した。つまり、これらの欠陥はシリコンとマイクロアーキテクチャのパッチで対処する必要があるということだ。
「それまでは、攻撃者は繰り返し攻撃を行い、ExSpectreのようなマルウェアの新たな亜種を発見する可能性がある」と彼らは述べている。「その間、新たな検出技術とソフトウェアレベルの緩和策が切実に求められている。」®
