Intel 製 CPU の脆弱性ってつまり何がまずいの?
今週の火曜日、現地時間での 5/13 は様々な脆弱性情報が、リリースされてんやわんやでした。
ただ、 "Intel 製 CPU の脆弱性 Microarchitectural Data Sampling(MDS)について" だけは、少し性質が異なるものなので、別記事として、起こしてみました。
僕は、CPU の専門家ではないので、さらに踏み込んだことが知りたい場合は、レポートを読み込むか Intel の人に聞くことをおすすめします。
目次
Intel 製 CPU の脆弱性 ってなに?
今回、公表された "Intel 製 CPU の脆弱性 Microarchitectural Data Sampling(MDS)" は、CPUの投機的実行機能をサイドチャネル攻撃に関する脆弱性です。
2018 年の年明けに話題になった、Meltdown/Spectre なども、これの一種です。
概要としては、CPU に読み書きされる情報からパスワードや暗号化キーなどを読み取れてしまうというものです。
ただし、ソフトウェアではなく、ハードウェアの処理方法の問題なので、通常の脆弱性とは毛色が違うのがポイントです。
自分の端末は何を気を付ければいいの?
一般的に利用される PC について、パッチを充てるなら慎重に。と言わせてください。
理由は以下です。
まず、CPU の脆弱性であるということ。
PC の 情報を処理させる CPU は当然ながら自身の CPU ですよね。
まさか 読みに行かせる CPU だけ他人の端末ってことはないわけで(笑)
なんだか、AirDrop 痴漢みたい。。
ということはつまり、CPU の情報を読み取れるのはその PC 自体だけのはず。
なので、基本的には他人から読み取られることはないです。
というか、他人の PC の情報盗むなら、CPU からじゃなくて、画面盗み見た方が早いですよね?(笑)
ただし、他人の PC と CPUを物理的に共存できる特殊な環境が存在します。
クラウドサービスにおける影響
他人の PC と CPUを物理的に共存できる特殊な環境。
それは、クラウドサービスです。
クラウドサービスでは、仮想的には別々の機器のように振る舞いますが、物理的に共存された環境に複数の機器が存在します。
従って、物理的に同じ機器は CPU も共有されるため、今回の攻撃で情報が読み取れてしまいます。
本来であれば、仮想であっても読み取れては行けないんですけど。
だから脆弱性なんですけどね(笑)
そして、厄介なのがパッチで、今回の脆弱性が CPU に係るものであるため、パッチを充てた際の、性能劣化を考慮しなければ行けません。
パッチによる機器の性能劣化について
以前の Meltdown/Spectre の時には、パッチを充てたことによる性能劣化が、大きく話題になりました。
今回は、Meltdown/Spectre ほどの性能劣化はなくパッチを適応しても、3%程度の劣化だそうです。
ただし、サイドチャネル攻撃を抜本的に対策するため Intel HT(Hyper-Threading) を無効にすると、大きく性能が劣化するので注意だとのことです。 (そりゃそうだ(笑))
そして、データセンター向けの CPU に関してはパッチを充てることで、ストレージの性能(I/O)が落ちるようなので慎重な対応が求められますね。
以下に、パフォーマンス低下の参考を載せておきます。
まとめ
脆弱性の対策として、パッチ充てはとても重要な運用です。
ただし、それによる影響を考慮しないと2次被害を及ぼしてしまうため、慎重な検討が必要になるわけです。
今回のように、ハードウェアの場合は、どこの情報がどうなって、誰がどう出来てしまうかを考えた上での対応が重要だと思っています。 (ソフトウェアでも同じですかね(笑))
ちょっとだけ、話題それますが、 HUAWEI の製品から中国が情報吸い上げてるってのはどうやってやってる理論なんですかね。
機器入れるだけで情報がとれるっていうことみたいですけど。 これ以上はやめときます(笑) ではでは。
