根本的解決はCPUの世代交代か、脆弱性問題：各社の対策法まとめ（1/4 ページ）

2018年の年明けすぐに、CPU業界で発生した「Spectre」「Meltdown」問題。Googleのチームなどが同年1月3日に報告した当初、情報が錯綜（さくそう）して混乱したものの、情報が公開されるにつれて落ち着きを取り戻しつつある。本稿では、主要ベンダーが用意した最新の対策情報と、いまひとつ分かりにくい「分岐先予測」「投機的実行」「データキャッシュ」に脆弱性が潜んでいた理由を解説する。

[長浜和也，EE Times Japan]

露見したCPUの脆弱性は異なる3つのタイプ

　2018年1月3日、複数の研究者（一般にこの調査と対策を主導したGoogle Project Zeroが有名だが、他にも欧米の大学、研究機関、メモリメーカーに所属する研究者が連名で報告書を作成している）から3種類のCPU脆弱（ぜいじゃく）性に関する報告が公開された。この報告で確認された脆弱性の種類とその名称（共通脆弱性識別子＝CVEとGoogle Project Zeroの報告書で名付けたVariantナンバー）、そして、問題となる挙動と脆弱性の起因となる技術、対策は以下のようになる。

CVE	Variantナンバー	識別名称	問題となる挙動	起因となる技術	対策
CVE-2017-5753	Variant1	Spectre	メモリアクセス境界チェックの回避	CPUの投機的実行とOSによるカーネルメモリ領域のアクセス機能	アプリケーションの更新
CVE-2017-5715	Variant2	Spectre	分岐先メモリアドレスの不正推測	物理CPUまたは仮想CPUに実装した分岐先予測技術で利用する分岐ターゲットバッファ（BTB：Branch Target Buffer）とブラウザアプリが実行するJavaScriptなどによるカーネルメモリ領域へのアクセス	アプリケーションの更新
CVE-2017-5753	Variant3	Meltdown	データキャッシュの不正読み込み	CPUの投機的実行機能とユーザープログラムの組み合わせによるカーネルメモリ領域へのアクセス	OSの更新

画像はイメージです

　1月3日の報告書公開当時、影響を受けるCPUがなんであるのか、どのような問題が起きてどのような影響があるのか、どのような対策をしなければならないのかなどについて多くの情報が錯綜（さくそう）し、混乱した状態が続いた。しかし、1月中旬の時点では、Intel、AMD、Arm、NVIDIAといったCPUとGPUの主要ベンダーや、OSベンダーのGoogle、Microsoft、Apple、さらには、PCやデバイスベンダーなど多くの企業が、この問題に対する対応を公式に発表している。

　この記事では、この問題において冷静に向き合うための情報を、公式発表を基にまとめて紹介する。その視点はエンドユーザーに近いところ、すなわちユーザーが実施すべき対策に関して紹介し、ついで、現在までに確認されているCPUやシステムに対する処理能力への影響、「Meltdown」「Spectre」とは何なのか、脆弱性が潜む理由となったCPの投機的実行と分岐先予測、カーネルのメモリ領域における特権とは何なのかを解説する。

主要ベンダーによる公式の対策情報

　1月16日までに、「Meltdown」「Spectre」に関してユーザーに対する具体的な対策を公式に発表したベンダーのうち、情報とリンクを多数用意してポータルとしても利用できるWebページを以下に紹介する。

Microsoft

• Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
• Protect your Windows devices against Spectre and Meltdown

　「Protect your Windows devices against Spectre and Meltdown」には、対策のために行う更新作業の手順（What steps should I take to protect my devices?）や、更新モジュールをWindows Updateで用意できたWindowsのバージョンとKBナンバーのリスト（January 2018 Windows operation system update schedule）、OEMベンダーが用意した対策済みパッチへのリンク（List of OEM／Server device manufacturers）、そして、Intel、Arm、AMD、NVIDIAといった主要半導体ベンダーのセキュリティ情報提供WebページへのリンクとMicrosoftの各製品に用意した解説へのリンク（Resource）を用意している。

　製品ベンダーのリンクには、日本に関係する富士通、パナソニック、東芝、VAIO、そして、外資ベンダーでユーザーが多いApple、Acer、ASUS、Dell、HP、Lenovo、Surface（Microsoft）などはある。

　なお、Windows環境における更新作業の手順では、一部のセキュリティ対策ソフトウェアで問題が発生することが判明しており、通常のWindows Update適用の前に、ソフトウェアベンダーが提供するパッチを適用するように警告している。