スマートフォン(スマホ)にパソコン(PC)と、今や必需品となったデジタル機器の心臓部といえるのがCPU(中央演算処理装置)だ。入力情報の演算、加工処理を行い出力装置や記憶装置へ出力する役割がある。
米グーグルの研究チームは、米インテルやAMD、英アームといった大手半導体メーカー製のCPUに脆弱性が見つかったと明らかにした。あらゆるスマホ、PCユーザーにとって注意が必要で、対策を怠ると不正アクセスの恐れが生じる。
グーグルが指摘、インテルも声明発表
グーグルは2018年1月3日付のセキュリティーブログでインテル、AMD、アームのCPUの脆弱性を指摘した。問題は昨年発見され、グーグルのシステムや利用者のデータを守るために動いていたのと同時に、インテルなどのメーカーと共にユーザー保護で協力してきたと明かした。
研究チームが「深刻な欠陥」と呼ぶのは、CPUの最適化に活用される「投機的実行」(speculative execution)という技法が関係している。これを悪用して、本来はアクセスできないパスワードや暗号鍵、機密情報を盗み見てしまう。
当初グーグルでは、1月9日にこうした注意喚起をする予定だった。ところがメディアやセキュリティー研究者を中心にこの問題の憶測が広がったため、情報の公開を早めたという。実はインテルも1月3日に声明を発表している。今回指摘された脆弱性を突いてもデータが破損、改ざん、削除される恐れはないとした。また同社ではAMDやアームほか基本ソフト(OS)業者と協力して、問題の早期開発に努めていると強調した。アームも同日付の発表資料のなかで、同社製の大多数の製品については影響を受けないと説明した。
とはいえ一般ユーザーにとっては、自分のPCやスマホ、サーバーといった機器が心配だ。 グーグルは先述のブログのなかで、同社製品やサービスに関する最新の状況を説明している。内容は随時更新されるが、1月5日午後時点で、OS「アンドロイド」を搭載する端末で最新のセキュリティーアップデートパッチが適用済みであれば問題ない。Gメールやカレンダー、AIスピーカー「グーグルホーム」も対策が講じられており、ユーザー側で追加の措置は必要ない。一方、ウェブブラウザ「クローム」や、クロームOSなど一部サービスでは、ユーザー側で対応プログラムを更新するなどの作業が必要だ。グーグルセキュリティーブログには具体的な対策情報へのリンクが掲載されている。
内閣サイバーセキュリティセンターの情報が有効
米アップルは1月3日、ウェブサイトで脆弱性の問題に触れた。同社製PCの「Mac」シリーズや、iPhone、iPadなどに使われているOSのうち、「iOS 11.2」「macOS 10.13.2」、また「tvOS 11.2」は既にパッチをリリースしている。ウェブブラウザ「サファリ」は近日中に更新プログラムを用意する予定で、ウェアラブル端末「アップルウォッチ」は影響を受けない。その他のOSも順次対応していくという。
米マイクロソフト(MS)はグーグルの発表を受けて1月3日、脆弱性が悪影響を与える可能性のあるウェブブラウザ「MSエッジ」「インターネットエクスプローラ11」用の対応プログラムを発表。また米アマゾンも1月4日、クラウドコンピューティングサービス「アマゾン・ウェブ・サービス」(AWS)のサイト上で、主力サービス「アマゾンEC2」について「保護済み」とする一方、ユーザー側でもOSにパッチを当てるなどの対策を取るよう促した。
日本国内では、内閣サイバーセキュリティセンターが1月4日以降、ツイッターで「CPU脆弱性情報」として頻繁に投稿を重ねている。公開された更新プログラムや対応方法の簡単な開設、有効な情報のリンク先を適宜ツイートしており、大いに参考になる。