※本記事は2018年1月5日に米国で掲載されたブログ記事の抄訳版となります。

エグゼクティブサマリ 

• Meltdown、Spectre 脆弱性は深刻な脆弱性です。
• 特異的に影響範囲が広く、潜在的には現代的なプロセッサを搭載するほぼすべてのコンピュータとデバイスに影響します。 その中には Intel および ARM プロセッサ上で稼働する Microsoft Windows、Google Android、Google ChromeOS、Apple macOS などが含まれます。
• ワームなどのコード実行につながる脆弱性ではなく、情報漏えいにつながる種類の脆弱性です。
• これらの脆弱性により、たとえばクラウドなどの共有ホスト環境において最もリスクが高くなります。
• エンドユーザーへの影響として、悪意のあるコードまたはスクリプトがこれらの脆弱性を悪用することにより、ユーザー名、パスワード、銀行口座の情報などの機密情報が漏えいするリスクが考えられます。
• 影響を受けるデバイスが広範囲にわたるため、IoT デバイスやモバイルデバイスの中には、この問題を解消する修正パッチが提供されないものが多数出てくると予想されます。
• 全ユーザーがパッチは早急に適用すべきです。
• 主要プラットフォームについてはほぼパッチが提供されています。
• 全ユーザーがシステムおよびデバイスのパッチを早急に適用すべきです。
• クラウドサービスの利用者は特段のアクションを取らなくてもよい場合が多いでしょう。プロバイダ側でインフラを更新して対策が行われます。どのような対策が取られるかについては、ご自身の利用するプロバイダに問い合わせてください。

概要

2018 年 1 月 3 日頃から 2 日間にわたり、ハードウェアベンダ、ソフトウェアベンダともに、「Meltdown」、「Spectre」というニックネームで呼ばれる本脆弱性問題に活発に対応してきました。

本稿では、現状と脆弱性についての概要、パロアルトネットワークスのお客様を含めた読者の皆さんが本問題のリスク評価するにあたっての指針、これら脆弱性の悪用による攻撃を成功させないために取るべきベストプラクティスについてまとめていきます。

現状

2018 年 1 月 3 日に、リサーチャー (Google Project Zero 含む)が次の 3 つの新しい脆弱性に関する情報を開示しました。

• CVE-2017-5753: 境界チェックのバイパス
• CVE-2017-5715: 分岐ターゲットインジェクション
• CVE-2017-5754: 不正なデータキャッシュ読み込み

これらの脆弱性のうち、Spectre の名前で呼ばれるものは最初の 2 つ (CVE-2017-5753 と CVE-2017-5715) を指し、Meltdown の名前で呼ばれるものが CVE-2017-5754 を指します。

いずれの脆弱性についても網羅的な詳細については、https://meltdownattack.comに記載されています。

本脆弱性に対応するセキュリティアップデートは、公開にさきがけ、2018 年 1 月 3 日から提供が開始され始めています。影響をうけるデバイスの範囲が非常に広いので、今後もセキュリティアップデートが五月雨式に公開されていくことが予想されます。

本稿の執筆時点においては、本脆弱性を悪用した攻撃は確認されていません。

脆弱性

今回の一連の脆弱性が特異なのは、この問題が結局のところハードウェアをベースとした脆弱性であるという点です。3 つすべての問題が現代的なプロセッサに起因しており、Intel、ARM などのチップセットに影響することが確認されています。AMD チップセットの脆弱性の状況については本稿執筆時点でははっきりと確認されていません。

プロセッサが影響を受ければ、その上で稼働する OS やアプリケーションも影響を受けることになります。

一連の脆弱性は物理層でプロセッサに影響を与えるため、完全に修正するには、プロセッサ自体を交換するか、ファームウェアを更新する必要があります。

その間は、OS ベンダなど各社の提供する (あるいは将来的に提供されることになる) 対策を利用することで、物理層の脆弱性にアクセスできないようにします。脆弱性の悪用防止という観点からはパッチ適用で有効に脆弱性対策ができます。

本脆弱性に関する技術的詳細は上記サイトで提供されています(英語)。一連の脆弱性のキーポイントは、「本来アクセス権限を与えられるべきでない情報にプロセスやアプリケーションがアクセスできるようになること」によって「情報漏えいにつながる」という種類の脆弱性だということです。つまり「カーネル内やオペレーティングシステム上の本来であれば特権を要すべき情報に、ユーザーモードのアプリケーションがアクセスできてしまう」ということが問題となっています。

通常のエンドユーザーが利用するシステムやデバイスについては、マルウェアや悪意のあるスクリプトにより本脆弱性が悪用され、ユーザー名、パスワード、アカウント情報などにアクセスされる可能性があります。

パブリッククラウドプロバイダなどの共有ホスト環境については、同一ハードウェア上にホスティングされているホスト間では、潜在的に互いの情報にアクセスしうることを意味しています。

本脆弱性の解析結果から、セキュリティリサーチャーの間では「本脆弱性に対する攻撃に包括的な保護を提供するのは不可能ではないかもしれないが難しいだろう」という理解が共通の認識となってきています。つまりこの脆弱性を悪用する攻撃を阻止するには、特定のマルウェアや攻撃手法、ホスティングサイトなどが出てくるつど個別に対応しなければならないということです。

リスク評価

情報漏えいに繋がる種類の脆弱性なので WannaCry/WanaCrypt0r や Petya /NotPetya のような直接的な脅威とは異なります。どちらかというと 2014 年に話題となった Heartbleed 脆弱性と共通する部分が多いでしょう。

脆弱性自体の深刻度という点では「重要だが致命的ではない」とされています。情報漏えいにつながる脆弱性で、コードが実行される脆弱性ではないためです。

もっともリスクが高いのが共有ホスト環境です。幸い、ほとんどのクラウドサービスプロバイダがすでにセキュリティアップデートを実施済みです。まだの場合、おそらく近々実施されるでしょう。

エンドユーザーとネットワーク管理者にとって本件最大のリスクは、システム上のユーザー名やパスワードなどが情報収集型マルウェアにより窃取される可能性があることです。

リスク評価の観点で見た本脆弱性の最大の特徴は、その影響範囲の広さです。潜在的には現代的なプロセッサを搭載するほぼすべてのデバイスに影響を与えることから、完全な緩和・修正はおそらく難しいでしょう。古いシステム (例えば Windows XP) やデバイス (例えば古い Android スマートフォンや IoT デバイス) の中には、本脆弱性に対する修正をまったく受けられないものもあるでしょう。

ベストプラクティス

本脆弱性についてはベストプラクティスが単純明快です。

1. 共有ホスト (クラウド) サービス環境を利用している方は、サービスプロバイダに問い合わせ、セキュリティアップデートによる本脆弱性への対策状況を確認してください。
2. 管理者とエンドユーザーは、セキュリティアップデートが提供されしだい、すべてのシステム・デバイスに適用しましょう。
3. くわえて、セキュリティアップデートがただちに提供されないシステムについては退役させることも検討してください。
4. 本脆弱性を悪用した攻撃を阻止するため、ネットワークとエンドポイントの包括的セキュリティ対策も導入するようにしてください。

弊社では本問題について引き続き注視し、更新情報がありしだい本稿を追記・修正する予定です。

パロアルトネットワークス製品が本脆弱性から受ける影響については、Live Community の次の投稿 (英語) を参照してください。https://live.paloaltonetworks.com/t5/Customer-Advisories/Information-about-Meltdown-and-Spectre-findings/ta-p/193878/jump-to/first-unread-message

ご質問は Threat & Vulnerability Discussions on our Live Community まで