IT小僧の時事放談

映画:007の悪組織のようなセキュリティ脆弱性 Spectre/Meltdown問題

投稿日:

2018年お正月から
ジェームズ・ボンドで有名な007(ダブル・オー・セブン)の悪組織のような名前のセキュリティ問題が発生しています。

その名も「Spectre」そして「Meltdown」この2つがIT業界で問題になっています。
IT関連のニュースを見ると例のごとく「専門用語ばかり」でよくわかりません。

そこで、今回の「IT小僧の時事放談」では、「映画:007の悪組織のようなセキュリティ脆弱性 Spectre/Meltdown問題 」と題して何が問題になっているか簡単に説明いたします。
最後までお付き合いいだだけたら幸いです。

Spectre/Meltdownの意味

Spectreとは?

  1. 幽霊,亡霊,妖怪,お化け
  2. 怖いもの(心に浮かぶ)恐ろしい幻影.
    【語源】ラテン語「見えるもの」の意
  3. 『007 スペクター』
    (原題:Spectre)
  4. HP社製 ノートパソコンのブランド名

Meltdown

  1. 〔原子力〕メルトダウン,炉心溶融
  2. 急落、暴落、溶かす、溶解
  3. スラングでは怒り狂う、激怒

どちらも物騒な単語には違いないのですが、今回の問題も負けじ劣らず物騒なものです。
と言っても
まず、これは、なんなのか?
「敵を知れば恐るることなかれ」
というわけで解説をはじめます。

そもそもCPUって何なのか?

CPUというのは、スマートフォン、コンピュータなどに必ず入っている「賢いリーダー」です。
例えばスマートフォンで写真を撮りたいと思った場合

  1. スマートフォンを取り出してカメラアプリを起動
  2. カメラアプリがピント、露出、シャッタースピードなどを設定
  3. 写真を撮る。
  4. 撮った写真をデジタルに変換してファイルにする。
  5. ファイルをスマートフォンに格納

これらの機能を中心的に仕事をしているのがCPUと呼ばれるものです。
スマートフォンに対して何かさせようとするとき「リーダーとなって仕事をしているやつ」と覚えておいてください。
このリーダに問題があることがわかりました。

リーダー(CPU)は、すべての情報を取り扱うために厳しい姿勢を貫いています。

例えば、ダメな部下(アプリ)がいた場合、リーダー(CPU)は、
「こいつヤバそうだな???」と判断したら
「お前は、危ないから、ここから出てゆけ!」
と部屋から退出させて組織(スマートフォン)の安全を守ります。

また、秘密を握っているアプリを例えばジェームズ・ボンド(諜報部員)としましょう。
リーダー(CPU)をボンドの上司のMとします。

ボンドが持っているパスワードなどの機密情報は、Mが、他にバラされないように常に監視しています。
ボンドが、ブロンド美女の敵のスパイ(別のアプリ)の色気に騙されそうになってもMは、それを許さず、最終手段で「ジェームズ・ボンドを抹殺」してでも機密を守ろうとします。

「M=CPUは、頼りになるリーダー」ですね。

この「頼りになるリーダー(CPU)」に欠点があることがわかりました。

「頼りになるリーダー(CPU)」の欠点とは?

「頼りになるリーダー(CPU)」にも欠点がありました。

頼りになるリーダー(CPU)だからこそが持つ「特権」を悪用されてしまうことがあります。

例えば 007(ダブル・オー・セブン)に例えると
敵組織(SpectreとMeltdown)に雇われた犯人(アプリ)がMの誘拐を計画します。
Mは、「頼りになるリーダー」ですから、簡単には、誘拐されません。
ところが、弱点が見つかります。
普段、厳しい姿勢で仕事をしていますが、そこは、人間「弱み」があることがわかりました。

自分の部下が、敵組織の手に落ちて復讐をしてきたわけです。
Mのすべてを知り尽くしている元部下(アプリ)は、弱点をついてきました。
この弱点こそ今回のSpectre/Meltdownと呼ばれるものです。

この弱点を(SpectreとMeltdown)をつかってMが誘拐されてしまうと「機密情報」も外部に漏れてしまいます。
Mは、すべての情報と特権を握っていますから、悪の組織に利用されたら「世界征服」など簡単にできてしまいます。

今回のSpectre/Meltdownというものは、こんな感じと思ってください。

「頼りになるリーダー(CPU)」が誘拐されたら何が起こる?

悪の組織(Spectre/Meltdown)に誘拐されてしまったMが、もし利用されてしまったら

  • ID・パスワード
  • クレジットカード情報
  • 暗証番号(銀行・暗号通貨など)


簡単に読み取られてしまいます。

誰がやられるのか?

現在動作しているあらゆるスマートフォン、パソコンがやられてしまいます。
MacintoshもWindowsもiPhoneもAndroidすべてです。
そしてクラウドと呼ばれるサーバーも影響があります。
AppleもGoogleもAmazonも全部です。
さらには、街の監視カメラも危険です。

これは、悪の組織による世界征服状態になってしまいます。

対策は?

根本的には、「リーダー」の首の挿げ替えしかありません。

例えば 007(ダブル・オー・セブン)に例えると
「映画:スカイフォール」で殺されたMに代わって新しいMが「映画:スペクター」に登場するようなものです。
と言っても映画なら役を交代すればいいのですが世界中に何億台?何兆かもしれないスマートフォンやパソコンのCPUは、簡単に取替できません。

そこで対症療法が必要になります。

例えば 007(ダブル・オー・セブン)に例えると
ボンドガールの登場です。
ボンドガールは、ボンドを誘惑しつつ解決の鍵を握っています。
このボンドガールが持っている鍵(最新のOSやアプリ)で解決(アップデート)しましょう。

そして秘密兵器の開発をしているを雇いましょう。
つまり、セキュリティソフトウェアの導入と更新をするのです。

 

Windowsは、既に更新が配布されています(KB4056892)
Mac関連ではmacOS High Sierraでは10.13.2、iOSでは11.2で対応されています。

これによって悪の組織(Meltdown)の対応はとりあえず完了です。
しかし、もうひとつの悪の組織(Spectre)は、現在のところ完全な対応ができていません。

狙われないようにするには?


具体的には、以下の4つを守ってください。

  • 出どころが不明なアプリは実行しない
  • 知らない人からのメールの添付ファイルは開かない
  • USBメモリをむやみやたらと差し込まない
  • 怪しいサイトは見ない、クリックしない

さらに

  • 出来る限りOSとアプリのアップデートを行ってください。

これしか対策がありません。

要は、悪の組織に近づかなければ大丈夫です。

まとめ

Spectreというワードで007の映画に例えて説明しましたが、映画を知らない人には、少し分かりづらかったかも知れません。

今回発覚したセキュリティの問題点は、非常に根が深くソフトウェアの対応では、付け焼き刃的な状況です。

技術的な情報は、以下のリンクで確認できますが英語です。
https://meltdownattack.com/

また、ここにも記載されていますが、一般の人に対してどうすればよいか?については、詳しく書かれていません。
http://jp.techcrunch.com/2018/01/05/2018-01-03-kernel-panic-what-are-meltdown-and-spectre-the-bugs-affecting-nearly-every-computer-and-device/

トレンドマイクロ社が一番わかりやすいです。
http://blog.trendmicro.co.jp/archives/16735

ここにも簡単に解説されていますが、ハードルは高いです。
https://qiita.com/hiuchida/items/2248b379197a5052029e

かと言って今の我々には、上に上げた「怪しいアプリやサイトを使わない」という選択肢しかありません。
今後、CPUメーカーがどのような対応をしてくるかわかったらご報告します。

スポンサーリンク

AdSence 336x280

おまけ

「ダニエル・クレイグ」の007 次回作決定らしいです。

カジノ・ロワイヤル [Blu-ray]

007/慰めの報酬 [Blu-ray]」

007/スカイフォール [Blu-ray]

007 スペクター [Blu-ray]

 

いまから楽しみです。

 

AdSence 336x280

AdSence 336x280

-IT小僧の時事放談
-, , ,

Copyright© IT小僧の時事放談 , 2018 All Rights Reserved Powered by AFFINGER4.