相次ぐ半導体の脆弱性で
明るみになった
パッチ「遅すぎる」問題

インテルとセキュリティ研究者のグループが5月、インテルの旧世代のマイクロチップに新たなセキュリティ上の欠陥が存在することを発表したとき、特に気がかりな点があった。欠陥の1つを解決するのに1年以上かかったということだ。

研究者らは、「ゾンビロード（ZombieLoad）」と名付けられた脆弱性について、2018年4月にインテルに警告したという。だが、その修正パッチがようやく配布されたのは、2019年5月になってからのことだった。これに対し、ソフトウェアベンダーが、コードに脆弱性が見つかってからパッチを発行するまでにかかる期間は一般的に90日程度だ。欠陥が修正されずに放置されたままになっている期間が長くなるほど、ハッカーが脆弱性を見つけ出す可能性が高くなってしまう。

ゾンビロードの存在を明らかにするのに一役買った研究者の1人であるオーストリアのグラーツ工科大学のダニエル・グラス教授は、もっと早く解決できたのではないかと考えている。MITテクノロジーレビューに宛てたグラス教授のメールによると、昨年4月にインテルにチップの脆弱性について報告した際、それが本物の問題であることを示すため、第三者が独立して実施した概念実証を提示したという。さらに2018年5月には、当該チップ搭載マシン上で動作するアプリケーションからハッカーが機密データを入手できる脆弱性に関して、さらなる詳細情報をインテルに提供した。

インテルはグラス教授らが指摘したセキュリティホールを当初再現できなかったため、措置を講じる前にさらなる証拠を得る必要があったと述べている。同社は今年になってようやく実際に脆弱性が存在することを立証し、修正パッチをリリースした。

脆弱性の問題をめぐる緊張状態が、ハードウェアの欠陥に対処する難しさを浮き彫りにしている。ハードウェアの問題への対処は、ソフトウェアの問題への対処よりはるかに費用がかかる上に難しいことが多く、数十億個ものチップに影響がおよぶ可能性がある「脆弱性の窓（無防備な状態が続く期間）」を生み出している。そのことにより、データセンターのサーバーからタブレットコンピューター、携帯電話に至るまで、あらゆるものがハッキングされるリスクに晒されている。

スペクターとメルトダウン

2018年初頭、「スペクター（Spectre）」と「メルトダウン（Meltdown）」と呼ばれるチップの脆弱性の詳細が早すぎる段階でリークされて以来、より迅速な対応を求める圧力が高まっている。これらの脆弱性が発覚したことで大混乱が起こった。各企業はチップが攻撃に対してどの程度脆弱であるのかを大慌てで探り、チップメーカーは大急ぎでソフトウェアの修正パッチを発行しようとした。この件がチップの脆弱性をより際 …

人気の記事ランキング

1. A new US phone network for Christians aims to block porn and gender-related content ポルノもLGBTも遮断、キリスト教徒向けMVNOが米国で登場
2. The problem with thinking you’re part Neanderthal あなたの中にいる 「ネアンデルタール人」は 本当に存在するのか？
3. Musk v. Altman week 1: Elon Musk says he was duped, warns AI could kill us all, and admits that xAI distills OpenAI’s models 「オープンAIを蒸留した」マスク対アルトマン第1週、法廷がざわめく
4. Will fusion power get cheap? Don’t count on it. 核融合は本当に安くなるのか？ 楽観論に「待った」をかける新研究