KADOKAWA Technology Review
×
コネクティビティ Insider Online限定
Cybersecurity flaws in chips are still taking too long to fix

相次ぐ半導体の脆弱性で
明るみになった
パッチ「遅すぎる」問題

半導体チップの欠陥を修正するパッチの開発には一般に、ソフトウェアよりも長い期間を要する。だが、サーバーから携帯電話に至るまでの、あらゆるものにチップが搭載されている現在、ハッキングのリスクが高まっている。 by Martin Giles2019.06.06

インテルとセキュリティ研究者のグループが5月、インテルの旧世代のマイクロチップに新たなセキュリティ上の欠陥が存在することを発表したとき、特に気がかりな点があった。欠陥の1つを解決するのに1年以上かかったということだ。

研究者らは、「ゾンビロード(ZombieLoad)」と名付けられた脆弱性について、2018年4月にインテルに警告したという。だが、その修正パッチがようやく配布されたのは、2019年5月になってからのことだった。これに対し、ソフトウェアベンダーが、コードに脆弱性が見つかってからパッチを発行するまでにかかる期間は一般的に90日程度だ。欠陥が修正されずに放置されたままになっている期間が長くなるほど、ハッカーが脆弱性を見つけ出す可能性が高くなってしまう。

ゾンビロードの存在を明らかにするのに一役買った研究者の1人であるオーストリアのグラーツ工科大学のダニエル・グラス教授は、もっと早く解決できたのではないかと考えている。MITテクノロジーレビューに宛てたグラス教授のメールによると、昨年4月にインテルにチップの脆弱性について報告した際、それが本物の問題であることを示すため、第三者が独立して実施した概念実証を提示したという。さらに2018年5月には、当該チップ搭載マシン上で動作するアプリケーションからハッカーが機密データを入手できる脆弱性に関して、さらなる詳細情報をインテルに提供した。

インテルはグラス教授らが指摘したセキュリティホールを当初再現できなかったため、措置を講じる前にさらなる証拠を得る必要があったと述べている。同社は今年になってようやく実際に脆弱性が存在することを立証し、修正パッチをリリースした。

脆弱性の問題をめぐる緊張状態が、ハードウェアの欠陥に対処する難しさを浮き彫りにしている。ハードウェアの問題への対処は、ソフトウェアの問題への対処よりはるかに費用がかかる上に難しいことが多く、数十億個ものチップに影響がおよぶ可能性がある「脆弱性の窓(無防備な状態が続く期間)」を生み出している。そのことにより、データセンターのサーバーからタブレットコンピューター、携帯電話に至るまで、あらゆるものがハッキングされるリスクに晒されている。

スペクターとメルトダウン

2018年初頭、「スペクター(Spectre)」と「メルトダウン(Meltdown)」と呼ばれるチップの脆弱性の詳細が早すぎる段階でリークされて以来、より迅速な対応を求める圧力が高まっている。これらの脆弱性が発覚したことで大混乱が起こった。各企業はチップが攻撃に対してどの程度脆弱であるのかを大慌てで探り、チップメーカーは大急ぎでソフトウェアの修正パッチを発行しようとした。この件がチップの脆弱性をより際 …

こちらは有料会員限定の記事です。
有料会員になると制限なしにご利用いただけます。
有料会員にはメリットがいっぱい!
  1. 毎月150本以上更新されるオリジナル記事で、人工知能から遺伝子療法まで、先端テクノロジーの最新動向がわかる。
  2. オリジナル記事をテーマ別に再構成したPDFファイル「eムック」を毎月配信。
    重要テーマが押さえられる。
  3. 各分野のキーパーソンを招いたトークイベント、関連セミナーに優待価格でご招待。
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る