インテルが「CPUに脆弱性」報道に反論、グーグルが解説した「原因」とは

インテルの声明

インテルが公表した異例の声明。文面からは、本来は来週に公表するはずだったが、不正確な報道への対応として声明を出したことが読み取れる。

欧米のテクノロジーメディアは年始から「CPUには脆弱性があり、悪意のある第三者が機密データを不適切に収集できる可能性がある」と報じている。

インテルはこれらの報道に対して1月3日(現地時間)、異例の声明を発表。悪用の恐れがある事象を認識したことは認めつつも、インテル製品に固有の問題であるという指摘は間違いだと正面から批判した。

インテルによると、本来このステートメントの内容は来週発表する予定だったもの。今回のメディアの報道を受けて、それを前倒した形だという。

インテルは声明の中で「これらの悪用がデータを破損、改ざん、または削除する可能性はないと考えている」としている。また、「いくつかの記事の指摘に反して性能への影響は作業負荷に依存し(workload-dependent)、平均的なコンピュータ・ユーザーにとっては重要ではない」と、大幅な性能悪化を引き起こすという可能性も否定した。

また、この問題に対処するため、AMDやARMホールディングス、いくつかのOSベンダーを含むテクノロジー企業と緊密に連携しているとし、来週にもこの問題についてベンダーと連携してソフトウェアやファームウェアアップデートを実施する準備をしていることを明らかにした。

なお、インテル日本法人ではBusiness Insider Japanの問い合わせに対し、英語サイトに掲載されたステートメントの日本語翻訳版を近日中に日本のニュースルームにて公開予定と説明している。

原因は多くのモダンCPUが使う「投機的実行」に起因か?

今回の脆弱性が何によって発生しているのか、どのような種類の問題なのか。これについては、報道を受けてグーグルが公開したセキュリティブログの記事が問題の理解につながりそうだ。

グーグルのセキュリティーブログ

報道を受け、グーグルが公開したセキュリティーブログの記事。発生する原因と影響範囲が簡潔にまとめられている。

「Today's CPU vulnerability: what you need to know」という記事によると、グーグルのプロジェクトゼロチームは昨年からこの問題を認識していた。その原因が現代のモダンCPUの多くが性能向上のために実装している「投機的実行(“speculative execution”)」というCPUの処理手法に起因した、「セキュリティー上の欠陥だ」と指摘している。

この指摘が正しければ、脆弱性はインテルが声明を出した通り、インテル固有の問題ではなく、モダンCPUの多くが持つ問題である可能性がある。

グーグルの研究員は実際に1台の仮想マシンとホストマシンを使った攻撃実験もしており、同じホスト上の異なる仮想マシンのメモリーを読み取り可能な状態(読み取りアクセス権を取得した状態)にできたという。なお、当然ながら、グーグルもすでにアップデートに取り組んでいる。

Androidスマホも対象、最新のOSパッチが当たっている端末は対策済み

グーグルのブログ記事では、自社サービスへの影響の範囲にも言及している。

特に気になるのは日本でも多数販売されているAndroid端末への影響だ。すでにパッチは開発済みで、最新のアップデートパッチが適用済みの端末は、この問題の影響を受けない。

グーグルでは、グーグル謹製端末であるNexusシリーズやPixelシリーズには明確に適用済みだとしているが、他の各社のAndroidスマホが適用済みかどうかは、今後各社の対応・発表を見守る必要がある。

その他のブラウザーや各種グーグルサービスについての対応ステータスはこちらの記事から確認できる。

(文・伊藤有)

ソーシャルメディアでも最新のビジネス情報をいち早く配信中

メールマガジン購読

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい