1月3日、多くのコンピューター(ほぼ全てのコンピューター)に影響があると報告されている、セキュリティ上での脆弱性のMeltdown・Spectre(メルトダウン・スペクター)という2つの脆弱性がiPhone・iPad・iPod touch(iOS)にも影響するとAppleが発表しました。
そして、Appleは4日にIntelを含む大手半導体会社のチップにセキュリティ上の欠陥が発見されたことを受け、iPhone、iPad、Mac向けにウェブブラウザSafariの修正パッチを配布することを発表しました。
本日はそのMeltdown・Spectreについて詳しく解説していきます。
MeltdownとSpectre
まず始めに、Meltdown・SpectreはCPUがデータを処理する際の仕組みにある脆弱性であり、製品を製造したメーカーが側の人為的なミス(バグ)ではありません。
では、一体何なのか?それは、パスワードや暗号化データ等のデータ保護機能を回避してコンピューターが処理するあらゆるデータへのアクセスを可能とする2つの攻撃手段の名称となります。
Meltdown
簡単に言ってしまえば、MeltdownはIntel製のチップのみに影響を与えるといわれています。
Intelプロセッサーではカーネル中のあるプロセスが偶然他のプロセスに干渉したり、悪意あるソフトウェアが権限のないデータにアクセスすることを防ぐため、アプリケーション領域とOS領域の間に障壁が設けられていいますが、Meltdownはこの障壁を迂回して保護を無効化して攻撃する手段です。
Spectre
Spectreに関しては、過去10年間に作られたほぼすべてのチップが影響下にあるとのことです。
CPUの本質的な弱点(欠陥)により、もっとも深い所にある重要情報へのアクセスが可能になってしまう弱点となります。
iOSの修正パッチはまだ!?
Google、Microsoft、ウェブブラウザFirefox開発で知られるMozillaは、現在3社が配布しているパッチに関してはiOSユーザーにとっては有効でないことを明らかにしました。
これは、Safariをメインブラウザとして使用しているiPhone、iPadユーザーは、Appleが独自の修正パッチを配布するまでは安全なブラウジングができない可能性があることを示唆しています。
この事に関してAppleは、現在のところチップのセキュリティ欠陥によって生じる脅威は発見されていないと述べています。
Appleは公式ウェブサイトでは、Meltdownに関しては、最新のアップデートApple製品利用者は攻撃から守られると発表しました。
Spectreについては、脆弱性があるとされるSafariの安全性向上のため、修正パッチが数日以内に配布されるとのことです。
さらに今後も随時パッチをリリースし、脆弱性を塞ぐとしています。
ちなみに、「Apple Watch」はMeltdownの問題の影響は受けないそうです。
