2018年早々に話題となったのはCPUの脆弱性だった。アプリケーションやOSとは異なりCPUは、あらゆるコンピューターに影響がある。WindowsもMacもLinuxも関係ない。一般ユーザーが用いているパソコンだけでなく、産業機器やIoT機器にまで及ぶのである。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
セキュリティ企業各社は2017年の最後の数カ月に、2018年のサイバー空間をより安全に利用できるようにすべく、今後のサイバー脅威と実施すべき対策を独自に予測していた。ところが驚いたことに、2018年は誰もがほぼ予測し得なかったシナリオで幕開けをすることとなった。パスワードや写真、秘密鍵などの個人情報を盗み出すことは簡単なわけではないものの、CPUの設計に起因する脆弱性が2つ露呈したのである。
これらの脆弱性については多くの記事が存在する。もしこの件についてまだ知らなければ、アリエ・ゴレツキー(Aryeh Goretsky、ESET上級研究員)の記事「CPU脆弱性のメルトダウンと恐怖」(英文)を読むことを勧めたい。
ここには非常に大きな根本的課題が存在する。もちろん、ソフトウェアやハードウェアのバグは発生する。ソフトウェアバグについてはソフトウェアにパッチを当てれば対応できるが、ハードウェアバグについてはたいてい、ファームウェアを更新することで対応できる。しかし、今回の2つの脆弱性については、ハードウェアアーキテクチャーの設計の欠陥により引き起こされているため、ファームウェア更新で対応することはできず、実際のハードウェア交換でのみ対応可能である。
幸いなことに、最新のOSのサプライヤーと今回の対象となるCPUに対して責任を持つハードウェアベンダーが連携することで、OSに対するパッチが用意された。また、必要に応じてそのハードウェアの追加ファームウェア更新を実施することで補強することもできる。不正コードによるエクスプロイト攻撃を防止する(またはエクスプロイト攻撃を少なくとも格段に困難にする)ための追加保護レイヤーの導入は、デスクトップ、ノート、タブレット、スマートフォン機器をより安全にするのに「簡単な」方法である。時には、これにより機器のパフォーマンスの低下を引き起こす恐れもあるが、それを受け入れセキュリティを重視すべき場合もある。安全にするためのそのほかの選択肢には、欠陥ファームウェアを交換する(今回のケースでは、代替品はまだ用意されていない)か、デバイスをネットワークから切断し、決して再接続しないことしかない(今日ではそれは望ましくなく、現実的でもない)。
そして、AMD、ARM、Intel、おそらくそのほかのベンダーにより作られたCPUは、これらの脆弱性の影響を受ける。これこそが問題の出発点である。特に、ARMのCPUは多数のIoTデバイスに利用されており、それらは誰もが持っているものであるが、一度動作を始めるとそれらの存在は忘れ去られ、ここにサイバー犯罪者がエクスプロイト攻撃を行う大きな隙が発生することになる。ARMによると、1兆個の機器をすでに「セキュア」にしているとのことである。確かに、全てのARM CPUが影響を受けるわけではないが、もし0.1%だけでも影響を受ければ、それは10億個のデバイスが影響を受けることを意味しているのだ。
さまざまな課題を抱えるIoT
ここで、次のような質問をする方もいるだろう。「私のWi-Fiで制御する照明からどうやって個人情報が盗まれるのか。同様に、冷蔵庫やデジタルフォトフレーム、スマートTVから何が盗まれるというのか」――回答は単純であり(ローカルネットワークへの侵入が可能となれば)「どこからでも盗まれる可能性がある」である。Wi-Fiパスワード、写真(リビングルームにはまともな写真のみを置いていると思うが、新しく撮った写真を表示するためInstagramやDropBoxに自動接続の設定をしている場合もある)、Netflixの認証情報、その他いろいろとあることを考えてみてほしい。今日では人々は多数の情報をIoT機器の中に保存しているのである。
実際、IoTデバイスにアクセスするためには、攻撃者はネットワーク、サプライチェーン、もしくは、そのデバイス上で動作するアプリやウィジェットに不正侵入する必要がある。そのほかにも方法はいろいろとあり、見て分かる通り、デバイスにアクセスするにはさまざまな方法が存在するのだ。
全てのデバイス上の全てのCPUを交換することは実際には実行不可能であり、あり得ない選択肢である。これはコストがかかりすぎるし、複数レイヤーのボードにピンスルーをはんだ付けで外したり再固定したりするのは100%成功するわけではない。現実世界では、人々は既存の機器をライフサイクルの最後まで利用し続けるだろう。そのため、長期間、家庭の中に脆弱な機器を人々は保持することになるだろう。
そもそも自分のローカルネットワークにどれだけのIoT機器があるのか、知っているだろうか。おそらく把握していないだろう。ネットワーク内の対応機器を特定するツールがESETの「ホームネットワーク保護」機能をはじめ、複数存在する。それらのツールを利用すると、家庭の中にこれまで決して気付かなかった機器を幾つか発見して驚くことだろう。
上述の通り、全ての欠陥CPUを交換することはコストが高すぎて現実的ではない。特に、格安のIoT機器であればなおさらである。これらについて、ファームウェアの更新やOSへのパッチ適用すら、選択肢として提供されないこともあり得る。IoT機器を購入する際には、どのCPUが稼働しており、それがこれらの脆弱性の影響を受けるものであるかどうかを確認することは重要であることを警告としてお伝えしたい。更新された新CPUが登場した際に、製造元は古い欠陥CPUの在庫を処分し、新CPUを用いた新機器を製造するために、いくつかの機器を突然廉価で提供することも考えられるので、購入者は注意して購入しなければならない。バーゲン品をネットワークに接続した場合、悪夢が生じないとも限らない。
現実的には、IoTもしくは「スマート」機器は、脆弱性の有無にかかわらず既に存在するため、それらにどのような情報が保存されるのか、注意を払う必要があるだろう。
