セキュリティのためにOSおよびソフトウェアのアップデートを――SpectreおよびMeltdownによるCPUのセキュリティホール問題――

JCA-NETのサイトから転載します。

セキュリティのためにOSおよびソフトウェアのアップデートを
――SpectreおよびMeltdownによるCPUのセキュリティホール問題――

インテル、AMD、およびARMのCPUチップの設計に問題があり、第三者がデバイスから個人データにアクセスし盗み出すことが可能であることが年末から年始にかけて相次いで報じられました。この問題は、いわゆるプログラムの「バグ」という問題ではなく、そもそもの設計にある欠陥だと言われており、20年も前から存在した問題でもあるとされています。

CPUはコンピュータの心臓部であり、その設計ミスからコンピュータが保有するパスワードや個人情報など機密情報を取得できる危険性があるということは極めて深刻な事態だと受けとめなければいけないと考えます。

しかも問題になっているチップは、ほとんど全てのパソコンやスマートフォンに用いられ、ウィンドウズ、マック、Android、Linux、iOSのいずれもがこの脆弱性に晒されています。

以下は、米国のシアトルに拠点を置く、アクティビスト向けにメーリングリストなどのサービスを提供しているriseupが、ユーザ向けに出したアナウンスをもとに、若干の追加情報などを含めて、今回の事態への対処をまとめたものです。

具体的に何をしなければならないのかが書かれていますので、是非参考にしてください。基本的に是非やっていただきたいのは、OS及びソフトウェアやアプリを最新のものにアップデートすることです。以下のriseupのアナウンスの後ろに若干の背景説明を追加しました。ぜひ御読みください。

JCA-NET 理事会
2018年1月10日

============================================================
(仮訳)Riseup Security Bulletinより

すでに報道を読んでいると思いますが、現在使用されているCPUには相互に関連する3つのセキュリティ問題があります。 これらの脆弱性は、アクセスしたWebサイトからJavascriptを読み込んだだけでも、あなたのコンピュータからパスワード、秘密、個人情報を盗む悪質なプログラムの可能性が高まります。 これらの脆弱性は深刻なものであり、ソフトウェアをアップグレードするための対策を講じる必要があります。

*「Meltdown」と呼ばれる一番目の欠陥は、ほぼすべてのインテルCPUに影響し、ほとんどのオペレーティングシステムのアップデートで修正されています。

*「Spectre」と呼ばれる他の2つの欠陥は、インテルだけでなく、過去20年間に構築されたほぼすべてのCPUに共通してみられますが、悪用は難しいとされています。 現在のところSpectreを恒久的に修正することはできませんが、ソフトウェアを更新することで攻撃の可能性が低くなります。

あなたのすべてのデバイスに対して、以下の手順を両方同時に実行すべきです。

(1)Webブラウザをアップグレードします(下記参照)。 これらの修正によって、CPUに対する新たな攻撃がより困難になります。

(2)オペレーティングシステムをアップグレードします。 Windows、macOS、およびGNU/Linux用のアップデートがあります。これらは、Intel CPUのMeltdownによる脆弱性を修正し、Spectreに対する若干の緩和措置を提供します。さらに、iOSとAndroidの新しいリリースではSpectreに対する緩和措置が含まれています。

オペレーティングシステムとソフトウェアについて、更なる修正が、今後数週間あるいは数ヶ月以内に継続して実施されると思われます。 あなたのシステムを最新の状態に保ってください!

ブラウザに関して
————

ブラウザを更新することで、アクセスしたWebサイトからロードされたJavascriptを使用して、攻撃者がコンピュータから機密情報を盗むことを極めて困難にすることができます。

Firefoxのバージョン57.0.4以降には、Specter攻撃への対策が含まれています[1]。

EdgeがSpectre攻撃を緩和する措置を含むように更新されました。 最新のWindows Updateを適用すると、新しいバージョンのEdgeが取得できます。

Safariによれば、Safariは近々更新される予定です。 App Storeのアップデートを確認してください。

Chromeは、バージョン64以降のSpectreに対する緩和措置が1月23日にリリースされる予定です。その間、「サイトの隔離」を有効にすることで、Specterの脆弱性を大幅に軽減するように設定を変更できます。
https://support.google.com/chrome/answer/7623121?hl=en

さらに、Webへのアクセスを安全に保つためのベストプラクティスについては、
https://riseup.net/en/better-web-browsing
を参照してください
(これらの新しい攻撃に対する軽減にも役立ちます)。

Windowsに関して
————

Windows 10の場合、Windowsをアップグレードする前に、最初にアンチウィルスソフトウェアをアップグレードする必要があります。 これをしないと、コンピュータが動作しなくなる可能性があります。 [2]

Windows 10をアップグレードするには:

> [スタート]ボタンを選択、[設定]> [更新とセキュリティ]> [Windows > Update]に移動、[更新を確認する]を選択。

自動更新を有効にする良い機会でもあります。以下のようにして自動更新を設定してください。

>「スタート」ボタンを選択、「設定」>「アップデートとセキュリティ」>「Windows Update」>「詳細オプション」を選択、「アップデートのインストール方法の選択」で「自動(推奨)」を選択。

Windows 7または8の場合もアップデートを利用できます。

MacOSに関して
———-

すでにMacOSバージョン10.13.2を使用している場合、Meltdown [3]に対しては保護されています。 それ以外の場合は、macOSをアップグレードします。

アップフレードの方法は、MacでApp Storeアプリを開き、App Storeツールバーの “Updates”をクリック、 “Update”ボタンでリストされたアップデートをダウンロードしてインストール。

自動更新を有効にする良い機会でもあります。以下のようにして自動更新を設定してください。

アップルメニューを選択、「システム環境設定」>「App Store」>「アップデートを自動的にチェックする」を選択。

AppleはSpectreに対していくつかの緩和策を提供するSafariブラウザのアップデートを近々リリースする予定です。

iOSに関して。
——-

Appleは、iOSがSpectreの影響を受けると述ベており、新らたな攻撃の大半を軽減するアップデートがリリースされました。 iOSバージョン11.2以降の場合、アップデートに対処されています[3]。

新規のアップデートを確認するには、[設定]> [一般]> [ソフトウェアアップデート]の順に選択します。

Androidに関して。
—————–

悪いニュースは、AndroidがSpectreに脆弱であることです。Googleブランドの携帯電話を持っていない場合や、カスタムファームウェアを実行していない場合には、何ヶ月も更新されない可能性があります。 しかし、現時点でセキュリティ研究者の間の共通理解は、Spectre攻撃はかなり困難だが、おそらくAndroidデバイスを侵害するより容易な方法はあるというものです。 どう理解したらいいでしょう?

これらの新しいCPU攻撃に対して、Androidデバイスをより安全にするために今できることが1つあります。

* Chromeで「サイトの隔離」を有効にする:https://support.google.com/chrome/answer/7623121?hl=ja
* 1月23日以降にChromeブラウザをアップグレードする。
*または、Android用Firefoxを使用する。

Debian / Ubuntu GNU / Linuxに関して。
—————-

「ソフトウェアセンター」または「ソフトウェアアップデータ」を実行します。

または、端末を開いて次のように入力します。
sudo apt update
sudo apt upgrade
sudo reboot

Fedora GNU / Linuxに関して。
————

端末を開き、次のように入力します。
sudo dnf –refresh (カーネルを更新するコマンド)
sudo reboot (再起動します)

安全性を保ち、強靭さを維持してください。
Riseup Birds

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
[3] https://support.apple.com/en-us/HT208394

以上riseupからの翻訳

============================
関連情報と補足説明

詳細情報が下記にあります。
Meltdown and Spectre
Bugs in modern computers leak passwords and sensitive data.
https://meltdownattack.com/
https://googleprojectzero.blogspot.com/

●日本語の記事が下記にあります。(日々更新されています)
JPCERT
投機的実行機能を持つ CPU に対するサイドチャネル攻撃
https://jvn.jp/vu/JVNVU93823979/

ZDNET Japan
CPUの脆弱性、Linux関係者らの見方や対応
https://japan.zdnet.com/article/35112767/
マイクロソフト、CPUの脆弱性問題で緩和策を緊急公開
https://japan.zdnet.com/article/35112758/?tag=mcol;relArticles
インテル、CPUに影響する脆弱性「Meltdown」「Spectre」対策でパッチを
公開
https://japan.zdnet.com/article/35112769/
CPU脆弱性のパッチ提供が本格化、Windowsはアンチウイルスの確認も
https://japan.zdnet.com/article/35112799/

CNET Japan
インテル、ARM、AMDなど多数のCPUに脆弱性–各社が対応急ぐ
https://japan.cnet.com/article/35112721/?tag=mcol;relArticles
プロセッサの脆弱性「Spectre」と「Meltdown」について知っておくべき
こと
https://japan.cnet.com/article/35112771/
プロセッサの脆弱性は全てのMacとiOS機器に影響–アップル、対策を公表
https://japan.cnet.com/article/35112791/?tag=cleaf_relstory_manual

ITpro(日経)
グーグルがCPU脆弱性の詳細を明らかに、Intel・AMD・Armが対象
http://itpro.nikkeibp.co.jp/atcl/news/17/010402924/?ST=security&itp_list…
iPhoneやFirefoxでもCPU脆弱性問題、更新版の提供始まる
http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/?itp_leaf_cxpc
CPU脆弱性問題でAWSとAzureの対応状況が判明
http://itpro.nikkeibp.co.jp/atcl/news/17/010402926/?itp_leaf_cxpc
インテル、CPUの脆弱性に「AMDやアームとともに対応」
http://itpro.nikkeibp.co.jp/atcl/news/17/010402925/index.html

●どのような脆弱性か

CNET Japanの記事「プロセッサの脆弱性「Spectre」と「Meltdown」について知っておくべきこと」では下記のように説明されています。

「セキュリティ研究者らが発見したこれら2つの重大な脆弱性は、攻撃者がプロセッサから読み取れないはずの機密情報を読めるようにするものだ。2つとも、プロセッサが一時的にチップ外で読み取り可能にする機密情報を攻撃者に提供してしまう。
プロセッサは基本的に、プロセスを高速化するためにコンピュータが次の機能を実行する上で必要な情報を予測する。これは「投機的実行」と呼ばれる動作で、この推測の段階で一時的に機密情報にアクセスしやすくなる。
1つめの脆弱性、Spectreを悪用することで、攻撃者はプロセッサに投機的実行プロセスを開始させることができる。すると、プロセッサがコンピュータが次に実行する機能を推測するために機密データを有効にし、攻撃者はこれを読めるようになる。
2つめの脆弱性、Meltdownは、「Windows」や「Mac」などのOSを通じて機密情報にアクセスできるようにする。Microsoftは3日、Windowsへの影響を緩和するセキュリティアップデートをリリースした。Appleは4日、「macOS」「iOS」「tvOS」向けに対策のアップデートをリリースした。また、数日中に「Safari」ブラウザ向けの修正も予定している。同社は今後も各OSへのアップデートを通じて対策を続けていくとしている。」

●なぜ20年間も放置されてきたのか。

設計上の問題をかかえたチップは20年前に遡ることができると言われています。この問題が当初から知られていたのに隠蔽されてきたのか、それとも気づかれないままだったのかなど、「謎」は今後解明されるでしょう。

しかし、明かに言えることは、今回のこのCPUの設計上の問題が明かになったのは2017年の4月であり、この段階で、この問題を明かにしたGoogleのセキュリティチーム、Google Project ZeroがIntelに報告していたにもかかわらず、それから半年IntelもGoogleもきちんとした対処をしてこなかったことです。この問題に対するパッチに関する情報がリークされ始めて、Apple、Linux開発者、Microsoftが脆弱性に対するパッチを急きょ準備することになった、というのがこの間の経緯とされています。(上記「CPUの脆弱性、Linux関係者らの見方や対応」参照)

この点について、Linuxカーネルの生みの親Linus Torvalds氏は次のように述べています。

「  私は、Intel社内の人物が時間をかけて、自社CPUを厳しい目で精査する必要があると考えている。そして、すべてが設計通りに動作しているといった広報用の文章を作文するのではなく、問題があるという事実を実際に認める必要があるとも考えている。..またこのことは、問題を軽減するためのこれらパッチが「すべてのCPUがガラクタというわけじゃない」ということを念頭に置いて記述されるべきだという意味を持っている。」

これがまさに、企業が自己の利益のためにセキュリティを放置するモチベーションの構造を端的に示しています。日本では誰もが知っている自動車から素材産業に至るまで頻発している製品基準の偽造問題と本質は同じなのではないでしょうか。

●実際のリスク、将来のリスクは?

現在まで、SpectleやMeltdownによる被害は報告されていないと繰り返し報じられています。このミスを利用することは技術的に困難であるとされる一方で、国家レベルのハッカーなら可能だともいわれています。そもそも、個人情報を盗み出したことをこの場合どうやって把握できるのか、把握できなければ盗まれたこと自体を認知することもできないのではなかとも思います。データロンダリング(違法に取得した情報であることを秘匿して情報を利用、転用、複製などすること)をされてしまえば、出所は明かにできず、外部に秘匿しての利用は、とくに国家ハッカーならありえます。金儲け目当てなら公然化するでしょうが、諜報機関は沈黙を守るでしょう。こうしたCPUの設計レベルで個人情報などの機密情報を取得しうるミスを「利益」と考えるのは誰か。このミスが文字通りの「ミス」なのか、それとも故意あるいは意図されたものなのか、この点も明確ではないと思います。後者であれば、これは設計ミスの問題ではなく、いわゆるバックドアの問題になり、企業犯罪あるいは権力犯罪の可能性すら出てくるかもしれません。

将来のリスクについては「高度な脅威アクターが近い将来、パッチが適用されていないシステムを悪用しようとすることに疑いの余地はほとんどない」(Juniper Networksの脅威研究の責任者Mounir Hahad、上記「CPUの脆弱性、Linux関係者らの見方や対応」から引用)とも言われており、こうしたリスクはほぼ確実だと思われます。地球上のほぼ全てのコンピュータのCPUに脆弱性があり、しかも、抜本的な解決(CPUをのものを取り替えることでしょう)は不可能であって、現在配布されているバッチも脆弱性を「緩和」するもので完全に回避するものではありません。

ゼロデイ攻撃というよく知られた手法があります。脆弱性が明かになった直後でまだセキュリティの対処が行なわれていない隙間を狙うもの。今回はこの格好のターゲットになるかもしれません。あるいは皆が忘れたころに、脆弱性を抱えた世界中の多くのコンピュータを利用した情報の盗み出しが密かに行なわれるかもしれません。これは私たちにとって無関係なことではなく、私たちが日常的に用いているパソコンや契約しているプロバイダなどのセキュリティの問題なのです。とくに多くの個人情報を扱っている市民運動団体や労働組合、弁護士事務所などのコンピュータのセキュリティを脆弱な状態にさらす危険性があることに十分留意して、最大限可能な対処をしてゆくことが必要だと思います。

(文責:小倉利丸 JCA-NET)