悪意を持った攻撃から守るCPUの脆弱性対策

2018年に入ってから、CPUの脆弱性に関する問題が一部の技術系のサイトなどで問題視されるようになりました。この脆弱性は2017年にグーグルや独のサイバラス・テクノロジー、オーストリアのグラーツ工科大学の研究者が発見し、CPUメーカーやOSベンダーに通知をしていました。

各社は対策
マスコミで大きく報道
脆弱性に繋がった高速化技術
パフォーマンスへの影響
さくらインターネットの対策
インテルが修正ソフトを公開

各社は対策

その後、CPUベンダーやOSベンダーは公表を控えて水面下で対策を進め、米マイクロソフトがセキュリティ更新プログラムを提供し始める１月９日前後で公表する予定だったとのことです。

これは特に悪意を持って隠していたわけではなく、対策が確立していない中で脆弱性を公表すれば、その脆弱性を攻撃するような犯人を生み出してしまい、社会が混乱するためです。しかし、今回は何らかの形で情報が洩れて、1月2日に英国のIT系報道機関が、「米インテル製CPUに欠陥」という内容の報道をしてしまいました。

その後はAMDやソフトバンクが買収した英アームホールディングスなどのCPUにも同様の脆弱性が見つかっています。一部のCPUに依存した問題ではなく、高速化を実現するための手段に依存しており、悪用されると、メモリ上の機密情報を不正に読み取られる可能性があると報道されています。今回の問題はパソコンだけに発生するようなものではなく、スマートホンやサーバー、ネットワーク機器、テレビなど、CPUを搭載している多岐の機器に発生する可能性があります。

マスコミで大きく報道

そして、今日になって、NHKのニュースサイトでも紹介されるほどの状況になっています。現時点ではこの脆弱性を利用するようなマルウエアは見つかっていないようですが、消費者としては該当機器のファームウエアやソフトウエアが最新の状態になっていることを確認していく必要があります。

すでに、Androidでは更新プログラムをパートナー企業に配布している他、マイクロソフトは3日にWindowsやWEBブラウザの更新プログラムを緊急公開しています。アップル社も３日にはiOSやmacOSの最新版で対応済みだと声明を出しています。

脆弱性に繋がった高速化技術

今回、脆弱性が見つかったCPUの高速化技術は下記の二種類です。

プログラムで定義した順序を問わずに準備できた命令から実行するアウト・オブ・オーダー実行
プログラムの分岐先を予測して投機的に実行する機能

CPUの周辺装置に比較するとCPUそのものの動作はとても高速なので、プログラムで定義された命令の順番通りではなく、並行に実行できるところは命令を分解して、どんどん実行してしまおうという高速化技術です。この技術では前もって実行したこと自体が有効に機能する場合と、予測がはずれてその計算結果を破棄しなければいけないことが出てきます。いわば無駄になってしまうことになりますが、それでも予測があたったときの効果の方が大きいので、ある程度の無駄が出ることは承知で実行してしまっています。

パフォーマンスへの影響

今回の脆弱性をふさぐためにクライアントで対策を実施した際に、パフォーマンスにどのように影響するか、ベンチマークテストの結果がインテル社から発表されました。第6から第8世代のCoreプロセッサとWindows10を搭載したマシンでの測定結果です。この環境でオフィス業務やメディア作成などを実施したときにパフォーマンスに与える影響は6%未満、複雑なJavaScriptを伴うWebアプリケーションなどを使う場合は、最大で10％の影響が出る可能性があるとされています。

サーバーにおけるパフォーマンスにどの程度の影響が出るかは今回発表されていませんが、もしも1割程度の悪化があるのだとすると、あまり余裕なく動いているようなシステムではスローダウンなどの何らかの影響が出るかもしれません。サーバー側についてはパフォーマンスの影響がシステム全体のパフォーマンスにも直結する懸念もあるので、インテルからの今後の発表が気になります。

【2018/01/12追記】