💻 PC･パソコン

【AFP＝時事】米インテル（Intel）などのCPUに脆弱（ぜいじゃく）性が見つかり、ハッカーにつけ込まれて機密情報が盗まれるのではないかという不安が広がっている。同業の米AMDや英ARM、検索最大手の米グーグルなど業界各社が協力して対応を急いでいる。

【図解】米大統領選へのロシア介入疑惑：IT大手の証言

　脆弱性に関する警告が飛び交う中、インテル（Intel）は3日に声明を出し、同社製品に特有の「バグ」や「欠陥」があるする報道は正しくないと反論。

　同社のブライアン・クルザニッチ（Brian Krzanich）最高経営責任者（CEO）は米経済専門局CNBCに対し、この脆弱性は米グーグル（Google）の調査チームが先に発見していたもので、業界が対策を取る間非公開にされていたと語った。

　インテルは、問題の迅速な解決に向けて同業のAMDやARM、ソフトウエア各社と協力し、業界を挙げて対応に当たっていると説明している。

　グーグルは、情報の大部分がメディアに流出したため、予定を数日前倒ししてこの脆弱性を公表。それによると、同社の調査チームがインテルやAMD、ARMのチップを搭載した機器や、それらを動作させる基本ソフト（OS）に「重大なセキュリティー上の欠陥」を発見した。欠陥を悪用されれば、パスワードや暗号化キーなどメモリーに保存されている機密情報が権限のない人物に読み取られる恐れがあると指摘している。

　グーグルは自社のブログで「新たな種類の攻撃から守るため、当社のシステムと影響を受ける製品をアップデートした。また、ユーザーやウェブを保護するためにハードウエア、ソフトウエアのメーカー各社と協力している」と明らかにしている。【翻訳編集】 AFPBB News

>>1
貼ってくれてアザース

インテルの声明と現実対応が矛盾しすぎてて笑たわ
これで来年からはAMDが地球を制す！！

第8世代のチップセット&CPU 暴落よろしく♪
マイクロソフトは糞だからLinuxで
快適に使わせてもらうわ

いざとなれば、PCもスマホも捨てて、ラジオだけの生活を送るよ

Intel入ってる？アカンやろ？ってネタになりそう（笑）

WIN7 使ってるが
更新がきてたんでUPしたら起動すらしなくなった
KB4056894　←これ

予備のPCで拾ったら
プログラムに不具合があるとわかった

配布するなら責任もって検証しろよ
マイ糞ソフト

世間を騒がす「プロセッサ脆弱性」　何が本当の問題なのか
1/6(土) 12:22配信 ITmedia PC USER
世間を騒がす「プロセッサ脆弱性」　何が本当の問題なのか
今回のプロセッサ脆弱性騒ぎは何が問題なのか
　2018年の年明け早々、新たに発見された「プロセッサの脆弱（ぜいじゃく）性」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。

【開設された脆弱性まとめサイト】

　始まりは、英IT情報サイトのThe Registerが公開した1月2日（現地時間）の記事だ。「Intelプロセッサのバグが発見され、ハードウェアの変更が必要であり、ソフトウェアでのセキュリティ対策はパフォーマンスの大幅な低下を引き起こす」との内容で、このニュースが駆け巡って世間を騒がせた。

　その後、Googleはこの脆弱性の情報ページを公開し、Intelが「同様の脆弱性はAMDやArmにもあり、対策で協力中」と発表。Microsoftが「セキュリティ対策による性能への影響は一般ユーザー（コンシューマー）では限定的」と報告するなど、関係各社がその影響や対策について、次々と情報を公開しており、一連の騒動の概要が判明してきた。

　今回のこの騒動で何が問題とされているのか、実際の影響はどの程度なのか、一般ユーザーはどう対応すればいいのか、という点に絞って概要をまとめたい。

●「Meltdown」「Spectre」と名付けられた脆弱性

　The Registerの報道直後、この問題を追いかけている米Googleの脆弱性調査チームProject Zeroがブログを公開し、IntelやAMD、Armの“モダン”なプロセッサに存在する潜在的な脆弱性問題を報告した。

　当初はMicrosoftがWindows向けの定例セキュリティパッチを配布している第2火曜日（1月9日）をめどに問題と対策を公表する計画だったが、前述の報道が先行したことの悪影響を鑑みて前倒して情報公開したようだ。

　報告されている脆弱性は下記の3つ。「Variant 1」と「Variant 2」については「Spectre（スペクター）」という名称が、「Variant 3」には「Meltdown（メルトダウン）」という名称がそれぞれ付与された。前述のブログには論文へのリンクも記されている。

・Variant 1（CVE-2017-5753）：境界チェックのバイパス
・Variant 2（CVE-2017-5715）：分岐ターゲットのインジェクション
・Variant 3（CVE-2017-5754）：不正なデータのキャッシュ読み込み

　またオーストリアのグラーツ大学の研究者も同様の報告をし、関連情報のまとめサイトを開設している。

Meltdown（Intel、Arm Cortex-A75のプロセッサに影響）

　Meltdownはキャッシュメモリの挙動を利用することで、本来は実行中のアプリケーションからは見えないメモリの保護領域（例えば、同時実行されている他のアプリケーションのメモリ）へのアクセスを可能にしてしまうという脆弱性だ。

　データの改ざん等は行えないものの、メモリの内容を制限なしにのぞくことが可能になるため、個人情報やパスコードなどの重要情報を盗まれる危険性がある。

　この現象は2010年以降のIntel Coreプロセッサで確認されている他、それ以前のプロセッサでの可能性も指摘されている。一方で、AMDやArmベースのプロセッサでの現象は現時点で確認できなかったと論文では触れられている。

　このようにIntel固有の問題とみられていたMeltdownだが、Armがほぼ同じタイミングで公開した技術文書によれば、「Cortex-A75」のみ「Variant 3」に該当することが触れられている。Cortex-A75は2017年5月に発表されたCPUコアで、発売中の製品に搭載例はないので、Meltdownの影響はIntelプロセッサに限定されると言える。

　この問題はOSへのパッチ適用で対応可能だ。これを受けてIntelが公開した文書では、「将来のIntelプロセッサでハードウェア上の対策を施したものをリリースする」と表明しており、現状でソフトウェアアップデートが施されたシステムについては、大きな問題はないと考えられる。

Spectre（Intel、AMD、Armのプロセッサに影響）

　もう少し厄介な問題となるのがSpectreだ。これは比較的“モダン”な高性能プロセッサではほぼ採用されている「投機実行（Speculative Execution）」のメカニズムにある脆弱性を悪用した攻撃となる。

　テクニック的にはMeltdownの不正なデータのキャッシュ読み込みよりも悪用が難しいものの、投機実行の仕組みそのものを利用する攻撃のため、アーキテクチャにかかわらず影響範囲が非常に広い。

　実際、IntelとArmが報告している他、AMDも文書を公開して対応を促している。つまり、現状で市場に出回っているPCからサーバ、スマートフォン、各種スマートデバイスまで、そのほとんどがSpectreの潜在的な攻撃対象となり得るのだ。

　こちらはOSへのパッチの他、対策済みのアプリケーションを利用することで問題を回避できる。

　現在のところ、MeltdownもSpectreも脆弱性を悪用されたとの報告はない。ただ、Spectreについては報告済みの3社のプロセッサに加えて、各種Armコアを採用したライセンス品や、投機実行を採用した他のプロセッサアーキテクチャにも問題が存在する可能性が高く、幾分か影響範囲が広いと考えていいだろう。

●Microsoft、Apple、Googleなど各社で対応が進む

　今回のプロセッサ脆弱性の発表を受け、各社は年明けから情報公開やパッチの提供を急いでいる。ここでは代表的なところを紹介する。

　Microsoftは当初の予定（1月9日）を繰り上げて、緊急アップデートの提供を開始した。更新プログラム「KB4056890」が該当し、これによりOSやEdgeブラウザ、Internet Explorerを含むアプリケーション群の対策がなされる。

　AppleはMeltdownの緩和策（mitigation）をiOS 11.2、macOS 10.13.2、tvOS 11.2でリリース済み、Spectreの緩和策はSafariのアップデートで対処する計画だと発表した。

　GoogleはAndroidやChromeブラウザでのパッチ提供計画を発表。この問題に対策済みの最新版ブラウザ「Chrome 64」を1月23日に公開する予定だ。

　Webブラウザについては、Mozillaも対策済みブラウザ「Firefox 57.0.4」を公開している。

　Intelによれば、過去5年間にリリースされた90％のプロセッサ製品向けにアップデートの提供を終えており、1月8日の週末までにはベンダーを通じて行き渡るだろうと観測している。

　なお、オーストリアのグラーツ工科大学が開設したまとめサイトには各種発表のリンク集があり、現時点でIntel、Arm、AMD、RISC-V、Microsoft、Amazon、Google、Android、Apple、Lenovo、IBM、Mozilla、Red Hat、Debian、Ubuntu、SUSE、Fedora、Qubes、Fortinet、NetApp、LLVM、CERT、MITRE、VMWare、Citrix、Xen（表記順）の情報がある。

●ソフトウェアの対策でパフォーマンスは低下するのか

　当初The Registerの報道では「対策パッチによりパフォーマンスが最大2〜3割程度低下する」と説明されたことが大きな議論を呼んだ。一般アプリケーションからOSの保護領域へのアクセスを禁止し、投機実行のメカニズムを悪用されないよう対策するためのものだが、実際にはほとんどの利用形態で影響は少ないとみられる。

　Appleによれば、前述したSpectreの緩和策の影響について、Webアプリの応答性を計測する「Speedometer」とJavaScriptの処理速度を計測する「ARES-6」では大きな影響がなく、Appleを中心に開発したHTMLレンダリングエンジンWebKitによるJavaScriptのベンチマークテスト「JetStream」では2.5％未満の影響という。

　同様の報告はMicrosoftなども行ったが、Webブラウザでのパフォーマンス低下は軽微というのは共通の意見だ。恐らく一般的なユーザーの利用形態において、ベンチマークテストのアプリケーションを利用して検証しない限りは目立った影響を感じることはないだろう。

　一方、CPUのリソースを極限まで利用するサーバ用途ではそれなりの影響がみられるという意見もある。MicrosoftとAmazon.comは、AzureとAWSでそれぞれ「（対策後の）目立つパフォーマンス低下はみられない」と報告した。ただし、一部のユーザーからパフォーマンスの低下を指摘する声もあり、この辺りはしばらく様子をみる必要がある。

　いずれにせよ、ソフトウェアのパッチ適用による対策で、一時的に若干ながらパフォーマンスの低下が起こることは避けられないものの、その度合いはワークロードの内容に完全に依存しており、ユーザーによりまちまちというのが実際だ。

　繰り返すが、少なくとも一般ユーザーは適切なソフトウェアアップデートさえしていれば、このパフォーマンス問題の影響が及ぶことはほぼない、と考えていい。

●最も大きな問題になると予想されるのは？

　「CPUのようなハードウェアは完璧な製品」と考えている人は多いかもしれないが、実際にはそんなことはなく、OSなどのソフトウェア製品などと同様、発売後に何らかの問題が発見されることはある。

　重要なのは、それを可能な限り早く発見し、適切なタイミングで対策していくことだ。特に、今回のようにソフトウェアで対策が可能なものであればなおさらだ。

　その意味で、昨今のOSやアプリケーションはゼロデイ攻撃の増加もあり、定期的なアップデートを適用する仕組みが構築されつつあり、きちんと運用されているシステムであれば、ユーザーの利用に影響をほとんど及ぼさない。

　現時点ではまだアップデートの提供が開始されたばかりのタイミングで測りかねる部分もあるが、影響範囲の広さを考えても、過去数年間の取り組みの成果をあらためて振り返るきっかけとなるだろう。

　問題となるのは、こうした定期アップデートのサイクルの外にあり、きちんとメンテナンスが行われていないシステムの存在だ。

　例えば、きちんとクライアント管理が行われているPCや、クラウド上に存在して強制リブートが可能なAzureやAWSのようなシステムでは（作業自体の影響はあるが脆弱性の対策としては）問題ない。

　しかし、オンプレミスで運用されているサーバや、身近な例ではアップデートの提供が遅れがちな通信キャリア販売のAndroidスマートフォンではセキュリティ上のリスクが高まると言える。すぐに今回の問題を悪用した攻撃が一般化するとは限らないが、重要な情報が日々大量にやりとりされるサーバや、個人情報が保存される可能性の高いスマートフォンにおける脆弱性は、金銭的な喪失に直結する問題だ。

　そして今回、より大きな問題になると予想されているのが組み込み機器での対応だ。小売店でのPOS、ATM装置、KIOSK端末など、昨今のモダンなプロセッサを搭載した組み込み機器は多数存在し、これらは今回の脆弱性で問題となる個人情報やカード情報などを扱う可能性が高い。しかも、組み込み向け製品のライフサイクルはハードウェアとソフトウェアともに長く、10年を超えるケースも珍しくない。

　今回のように過去10〜20年をさかのぼって問題が報告されるようなケースで、どこまでベンダーが対応できるのかというのは、ユーザーとベンダーにとっての今後の大きな試金石となる。

　仮に、古いハードウェア製品を使い続けるユーザーがいたとして、対応のソフトウェアやシステムを販売したベンダーに今回の対策アップデートを提供することは可能だろうか。明確にサポート期間が設定されているWindowsはともかく、LinuxやAndroidなど、特定のディストリビューションによらずにカスタマイズされるOSのサポートは、それを提供したベンダーの対応に依存する。

　近年、Android POSの導入機運が高まっており、アジアでは中国を中心に、欧州圏などにも波及しつつあるが、ソフトウェア側のサポートはPOSを販売するベンダーが行うことになる。今回のような問題が今後も起こる可能性を考えれば、既に利用から何年も経過したシステムのサポートはベンダーの本気度が試されると考えていい。

　直近での一般ユーザーへの影響こそ少ないものの、今回の問題の根深い部分はここにある。ベンダーからみて既に「時代遅れ（Obsolete）」なシステムをどこまでサポートするのか、これら古いシステムを使い続けるユーザーの意識はどう変わるのか、「サポート期間の長いシステム」を巡る議論はむしろこれから本格化するだろう。

↑論点ずれてんだよ
インテルは以前にもAMDとの速度競争の時に
アーキテクチャでポカやってんだろ？
開発がムーアの法則通りにいかないと株価下落や
他社の追随を許すことになるから開発焦り
検証甘くなってんだよ
第8世代への移行の最大メリットはメニーコア化と
高クロックに耐性ある微細化技術の刷新
今回の対策パッチ等で単純処理計算には
影響は少ないらしいが、
処理によっては3〜4割ダウンするとか
正に本末転倒。
更に、マイクロソフトを始め、各メーカーの差分配布
体制や、パッチに対するまともなアナウンスは酷くなるばかり。差分ファイルのディスク販売もしなければ、
ディスクイメージの配布すらしない有り様。

そもそもマイクロソフトがアップデートの検証に
CPUタスク取られ過ぎて他の処理圧迫してる
馬鹿な設計止めなきゃｗ

お前さんみたいなのがビッグデータありがたがるタイプだよな
常時ポート解放してなきゃ不安にでもなるのか？

Radeon入ってる第8世代Core＆NUCを正式発表、Max-QのGTX 1060を超える IntelがノートPC向けの第8世代Coreプロセッサーの新シリーズ「第8世代Coreプロセッサー with Radeon RX Vega M Graphics」（以下、第8世代Core with Radeon）を発表しました。このCPUは昨年11月にアナウンスしたゲーミングノートPC向け第8世代CoreのHプロセッサーに該当するもので、RadeonベースのセミカスタムGPUを搭載することで大きな話題を呼びました。今回、正式なシリーズ名や型番、動作クロックなどを含めた詳細が発表され、米国ラスベガスで開催する「CES 2018」（米国時間：1/9〜12）でも採用PCが展示される予定です。

インテルの統合チップHDシリーズが糞性能
技術系利用のノーパソで廉価ノートが
まったく役に立たない
結局、WSノートかゲーミングノートを
流用することになって割高なんだよな

東芝は　対策　２月以降ってどうよ

自分で判断しなよ

今回の欠陥問題、集団訴訟の動き全然無いな

インテルのCEOがGoogleからCPU欠陥を指摘された後、
対策、公表する以前に自身の保有するインテル株を2400万ドル相当を売却。インサイダー取引との指摘あり。
また米国各地で対策費用、速度低下による損害を集団提訴する動きあり。日本国内は未だに傍観

米国では集団訴訟起き始めてるのに
日本は全然動かない
ヘタレジャパン

米国企業に物言えぬ日本

IntelのCPUに、メッセージの署名鍵が漏えいする可能性がある新たな脆弱性が存在することが明らかになったが、同社はこの脆弱性の有効性を否定しており、修正を行う予定はないようだ。

　この脆弱性は「Black Hat USA 2018」で発表される予定で、この発表では、「OpenBSD」でIntelのCPUのハイパースレッディング機能を無効化する決定をした理由が説明される。

　OpenBSDプロジェクトの責任者Theo de Raadt氏は、アムステルダム自由大学のSystems and Network Security Groupの研究者が書いた論文を読んで、この機能に対するサポートを停止したと述べている。

　米国時間6月22日には、The Registerがこの論文の詳細について報じている。この論文は、Intelのハイパースレッディング技術を利用して、データの暗号署名に使用される256ビットのEdDSA暗号鍵を高確率で入手する攻撃方法を詳しく説明したものだ。

　研究者らは、「TLBleed」と名付けられたこの攻撃は、IntelのCPUアーキテクチャに応じて、最低でも98％のテストで別のプログラムが持っている暗号鍵のデータを取得できたと主張している。情報の取得は、その鍵がデータの署名に使用されている際に発生している。

　この攻撃はIntelのハイパースレッディング技術を利用するもので、投機的実行を利用する「Spectre」や「Meltdown」とは異なるものだ。ハイパースレッディング技術は、Intelのプロセッサシリーズ「Core」「Core vPro」「Core M」「Xeon」に搭載されている。

脆弱性「フォアシャドウ（Foreshadow）」を悪用されると、コンピューターのメモリー内の機密情報が盗まれる可能性がある。

ジーディーネット（ZDNet） の 報道によると、今回見つかった脆弱性を、インテルは「L1ターミナル・フォールト（L1 Terminal Fault：L1TF）」と命名し、発見した研究者は 「フォアシャドウ」という名称で分類したという。フォアシャドウは、2018年に入ってインテルおよびAMDの両社が製造した数十億個のチップで発見されたセキュリティホール「スペクター（Spectre）」や「メルトダウン（Meltdown）」 と本質的に似ている。 AMDは、自社製品にはフォアシャドウの脆弱性の影響は無いと発表している。今回影響を受けるのは、インテルの中央演算処理装置（CPU）だけだ。

フォアシャドウを利用することで、ハッカーは、パスワードや暗号キーが保管されているチップのコア・メモリー部分へ侵入する「サイドチャネル」攻撃を仕掛けられるようになる。特に、コンピューティング・クラウド内で稼働したり、多数の異なる顧客の作業を処理したりするマシンは、サイドチャネル攻撃に対して脆弱である可能性がある。

今回セキュリティホールを発見した研究者は、数カ月前にインテルに注意を喚起していた。そのため、インテルはハッカーが今回の脆弱性を悪用するリスクを最小限に抑えるためのソフトウェア・パッチを準備している。 スペクターとメルトダウンの両方に関しては、インテルは緊急に修正措置を取らねばならなかった。マイクロソフトやアマゾンなどのクラウド・コンピューティング・ベンダーらも、フォアシャドウが顧客にもたらす脅威を最小限に食い止めるためにとった措置について通知を出している。

フォアシャドウやスペクター、メルトダウンは、すべてハードウェア・レベルでの脆弱性なので、 チップを交換する以外に脆弱性の問題が解消されたことを保証する術がない。

ハイパーリンク

致命的

今や中華製