Meltdown、Spectreに対する対応パッチのリリース相次ぐ。IT各社はパッチ適用を呼びかけ。

 GoogleのProject Zeroチームが発表した、CPUやJavaScriptに関する脆弱性が大きな波紋を呼んでいる。この脆弱性はIntel、AMD、ARM等、各社のプロセッサ、複数のOSで影響が有り、「Meltdown(CVE-2017-5754)」「Spectre(CVE-2017-5753、CVE-2017-5715)」として報告されている。この脆弱性を攻撃者に悪用されれば、データへのアクセス権限の無い人物がコンピュータの記憶領域(メモリ)に保存されているパスワードや写真、機密情報といった各種データにアクセス出来るようになる恐れがある。

 問題の重要度と影響範囲の広さから、IT各社からパッチ適用等が呼びかけられている。主なメーカの対応状況を記載する。

 なお、本脆弱性はウェブブラウザのバージョンアップが推奨されているため、一般ユーザであっても利用中のウェブブラウザの対応状況を確認し、対策を実施することを推奨する。

■本脆弱性のCVE

 本脆弱性に関連するCVEは以下の通り。システム管理者、セキュリティ担当者は一度目を通すことを推奨する。

メルトダウン CVE-2017-5754

Spectre CVE-2017-5753CVE-2017-5715

■インテル

インテルは今回の脆弱性を、悪用されたとしても、データを破損、改ざん、または削除する可能性は無いとした。

インテルでは今回の脆弱性に関して、既にソフトウェアとファームウェアのアップデートの提供を開始しており、一般ユーザ、システム管理者は利用しているコンピュータの製造元や、OS開発元に確認し、パッチの有無を確認するようにとのコメントを発表した。

■AWS

 Amazonが提供する各種サービスに対してはAmazon側で対応済みだが、一部EC2上で動作しているOSや、AWS WorkSpacesについてはユーザ側での対応も必要とされている。

■マイクロソフト

 マイクロソフトはWindows、IE11、マイクロソフトエッジ等に対して対応パッチをリリースしている。 

■アップル

 iOS 11.2、MacOS 10.13.2、およびtvOS 11.2に関して、メルトダウン対策用のパッチをリリースした。

 watch OSはメルトダウンの影響を受けない。

 Spectreについては、現在Safariの対応バージョンをリリース予定としている。

■グーグル

 今回の脆弱性は元々グーグル社によって発見された。そのため、グーグル製品の大半は既に今回の脆弱性に対して対処済みだという。

 ・対応済み、対応不要のプロダクト

  Google Infrastructure

  Google Apps / G Suite

  Google Home/ Chromecast

  Google Wifi/ OnHub

 ・ユーザにてパッチ適用等の作業が必要なプロダクト

  Android

  Google Chrome

  Google Chrome OS (Chromebook等)

  Google Cloud Platformの一部プロダクト

  Google社の対応状況へのリンク

■Firefox

 最新版(57.0.4)にて対応済み。バージョンアップすることで対策が完了する。

 詳細はこちら

■VMWare

 今回の脆弱性対応用パッチがリリースされている。

■パッチ適用を疎かにしたために、巨大情報漏えいに繋がったエクイファックス

 昨年、サイバー攻撃によって1億4300万人の情報漏洩に繋がったエクイファックス社。この情報漏えいの原因はApache Strutsに対する脆弱性対応を疎かにしたことにより、攻撃者に侵入を許してしまった。パッチ適用は面倒な作業ではあるが、OSやアプリを最新の状態に保つことで、防御出来るサイバー攻撃は多い。IT担当者は自社のIT資産に関して今回の脆弱性の影響度とパッチ適用を実施することを推奨する。