IDコラム

トップページ > コラム >  【エバンジェリスト・ボイス】2...

【エバンジェリスト・ボイス】2018年CPU脆弱性まとめ 2018/12/05 (水)

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 松岡 政之    matsuoka2_274x380

こんにちは。CSS部エバンジェリストの松岡です。

2週間ほど前にIPAの情報処理技術者試験のうち、「基本情報技術者試験」と「情報セキュリティマネジメント試験」の合格発表がありましたが、受けられた方はいらっしゃいますか。今回の試験で特筆すべきことは、「情報セキュリティマネジメント試験」の合格率が初めて50%を切ったということですね。

2016年春期に実施された初回の試験では88%もの合格率を記録し、手早く情報処理技術者試験に合格するには狙い目の試験といった様子でしたが、回を重ねるごとに合格率が下がってきています。現時点では46%程度なので他の試験よりはまだ合格しやすいといえますが、今後は他の試験と同様に25%前後の合格率に少しずつ近づいていくのでしょうか…?

さて、今回はタイトル通りCPU脆弱性の話題ですが、本題に入る前に最近のCPUの動向について少しご紹介します。

まずIntelからは最大18コア36スレッドの第9世代Core Xシリーズが発表されています。ベンチマークも解禁され、そろそろ発売予定の時期ですが執筆時点では発売日確定の続報は見受けられません。また、品薄続きだったi9-9900Kもまとまった供給が始まりショップで普通に入手できるようになりました。サーバ分野では48コア96スレッドのXeonが発表され、2019年度前半に市場投入予定とのことです。

一方、AMDからは最大32コア64スレッドのRyzen Treadripperの下位モデル2種(2970WX, 2920X)が10月末に発売されています。サーバ分野では最大64コア128スレッドの第2世代EPYCが発表されこちらは2019年発売予定です。また、AWSでのEPYCの採用が始まりサーバシェアの獲得を勢いづかせています。 


それでは本題に入ります。
今年の年初にMeltdown/Spectreの脆弱性が公表されたことを皮切りとして、まるで一大ブームのように次々とCPUの新たな脆弱性が研究され公表されています。かつてこんなにCPU脆弱性にスポットが当てられた年があったでしょうか。

Meltdown/Spectreについては過去のコラム(【エバンジェリスト・ボイス】忘れたころに振り返るCPUの脆弱性)で取り扱っていますのでそちらをご参照ください。

今年に発表されたCPU脆弱性とその対策状況についてまとめてみましょう。IntelAMD以外にもARMなど影響が多岐にわたるものもありますが、今回はx86の土俵に絞ってIntelAMDに関連する話題のみを取り上げます。CVSSスコアも併記しますので、対策順序や対策の要/不要の判断にご活用ください。

CVSS(共通脆弱性評価システム)についてはIPAのサイトで解説されていますのでそちらをご確認ください。

外部サイト:共通脆弱性評価システムCVSS概説
外部サイト:共通脆弱性評価システムCVSS v3概説 

※簡易的に記載しているため表現が正確ではない可能性があります。
 また、発表されたすべての脆弱性を網羅できていない可能性がある点予めご了承ください。

表_839x617

表を見ていただくと、全体的にIntelCPUに影響のある脆弱性の発見が多くなっていますが、これはIntelCPUが危険というわけではなく市場のシェアが大きいため積極的に研究されてた結果にすぎません。上記のほとんどの脆弱性は現時点ではまだ実際の攻撃は確認されていないため、必要以上に恐れる必要はないありません。(攻撃されたことに気づいていないだけ、という可能性も否定はできませんが…)

ですが、今後効果的な実装方法が発見されれば攻撃に利用される可能性はあります。また、上記以外にも11月に入ってさらにMeltdown/Spectreに関連する新たな脆弱性が7件発見されるなど、いまだその勢いは衰える気配がありません。

攻撃の被害にあったり踏み台にされたりしないためにも、メーカーの発表などを確認し、できる範囲で対策を心掛けていきたいですね。

それではよいパソコンライフを!

お問い合わせ