【号外】Meltdown、Spectorの影響、及び対策について

皆様こんにちは。キューブ・エス中村です。

ブログを書き始めて早々ですが、今年1月3日に

この世に出回っている多くのコンピュータの根幹、頭脳である

CPUにバグが発見されたという、相当にクリティカルな報告が

世界中を駆け巡りました。

本日は号外としてこのバグ、

「メルトダウン」、及び「スペクター」について

色々書かせて頂ければと考えます。

 

■「メルトダウン」、「スペクター」とはどういうバグなのか

スペクターはCPUの高速化の為の仕組みの一つである「分岐予測」を悪用し、

通常ロールバックする事でフラッシュされるべきキャッシュ内の情報を

意図的に短時間滞留させて、不要判断される前にプログラムに計算させて

読み出しをすることが出来る様になるという仕組み(CVE-2017-5753)と

分岐元のメモリアドレスの内の12bitを元に分岐先のメモリアドレスを

予想している特性を使った、同一CPUコアをそのCPU上にて展開する仮想CPUコアで

共有する別VM上に作ったPCのメモリ内のプログラムの

意図的投機実行(CVE-2017-5715)が出来てしまう脆弱性との総称です。

 

このスペクターの前者に比べ、後者は再現性は高いものの

条件的にかなりインフラや環境レベルで限定的な場合に起こり得る脆弱性であり

脆弱性として存在している物の、そこまでクリティカルでは無いようです。

ただ、一方で前者は勿論根本的な対策=CPU交換となる為、

基盤レベルでの対策が難しい事を考えると、今後年単位で

プログラム単位での対策を求められる事になるでしょう。

 

一方、メルトダウン(CVE-2017-5754)は「アウト・オブ・オーダー」と

「分岐予測」の二つを悪用した上で実効する事が出来る脆弱性で、

悪用するとキャッシュに保存されたメモリ情報を読み出す事が出来る様になります。

但し、こちらも実効条件が厳しく、実効環境、実行命令等が時系列に則る必要があります。

 

■発生する対象CPUは?

Intel系CPUは過去に遡りほぼ全てスペクター、メルトダウン共に

対象であると考えて問題は無い様です。

AMD系CPUはスペクターに関しては特に発生しないとの声明が出ている様ですが

メルトダウンは対象であると考えないといけない様です。

また、一部のARM系CPUも対象との事ですので、

UNIX系OSで作られている昨今のスマートホンは

基本的に影響を受ける可能性があります。

 

尚、下記等のチェッカーもある為、OS別で確認をして

対応を検討して下さい。

・Windows: Ashampoo Spectre Meltdown CPU Checker

・Linux   : spectre-meltdown-checker

 

■対策はどうすれば良いのか?

簡単に言えば、OSのアップグレードを行なう事で各環境対応が出来る様です。

Windows、及びMACに関しては通常通りWindowsUpdateやOSアップグレード等の

パッチ適用をすれば問題ありません。

LinuxについてはRedhat系、Debian/GNU系両方ともに

パッケージ管理ツールを使用して対応可能なようです。

yum upgrade、又はapt-get upgradeを実行してカーネルも含めた

アップグレードが出来れば解決できそうです。

 

ただ、2018年1月15日現在、CVE-2017-5715の対策が完了していない様に見えます。

基本的に環境的に厳密且つ限定的な条件が揃った時のみ発生する事象である為、

他二つが正常に対策できていれば問題は無い様に思いますが、

継続的に状況を注視した方が良いでしょう。

 

後ほど調べていて気付いたのですが、パッチレベルでは

どうやら適用されている事に気づきました。

ただ、BIOSの設定変更等、基盤側の問題もありますので、

とりあえずわかっているのは

「弊社の契約しているクラウドサービスではまだ未対応」

と言う状態の様子です。

各社順次対応については検討されている様子ですので、

結局のところ結論は継続的な状況注視にはなるのですが、

誤った情報公開については失礼いたしました。

 

【第一回】ネットワーク構築の有用性

皆様、初めまして。

合同会社キューブ・エス 代表の中村と申します。

 

本日より、定期/不定期に本ブログを通して、

皆様にネットワークに関するお話が出来ればと思い設立致しました。

ブックマーク等、定期的に閲覧頂ければ幸いです。

 

さて、改めましてですが、ネットワーク構築の有用性について

私が弊社を設立した志も含めて本日は書かせて頂こうと思います。

 

現代日本において、インターネットはもはや電気ガス水道電話に次ぐ

「第五のインフラ」と言っても過言ではない時代となりました。

パケットの供給は一昔前にはやれISDNだ、やれ従量課金制だと言っていた時代を置き去りに

今や蛇口をひねると出てくる水のごとく、光ケーブルやメタルケーブルを伝い

各家庭に供給されている事かと思います。

 

ただ、このインターネットと言うインフラは他のインフラと異なる点があります。

電気も、ガスも、水道も、基本的に一方向での「供給」(家の外から家の中へ)の

供給しか無いインフラですし、電話は双方向の通信があるとは言え、

常時繋がっている事はまずないのですが、これが事インターネットは異なり

常時接続がされているうえに、接続先そのものが大切な情報を持ちうる機械である

と言う事です。

 

 

ところが、現在において、この双方向に受発信出来るインフラを

安全に使いこなす整備が出来ていない会社は本当に多いのが現状です。

 

さて、ここで一例をあげましょう。

ここでとある会社があるとします。

オフィスの中にはパソコンが5台、サーバが1台、複合機が1台、無線LANルータが1台

それらがスイッチングハブで接続されていて、更にWi-fi用のルータが別途一台ある環境を

想像してください。

 

ある環境では複合機が常に外部に通信を発していて、

サーバが外部からもメンテナンス出来る様にポート開放されている、

無線LANはPSKがかかっているけれど、社内でSSIDとPSKを共有している為

社員は内緒でスマホや持ち込んだPCを繋げ放題

退社した社員も近場に来た際は変わらないSSIDとPSKで接続可能

防ぐために社員の増減時にサーバ、Wi-FiのSSID/PSKを定期変更(その都度PC設定も変更)

と言う環境が想像できます。

 

片や、とある環境では複合機は別にカウンタ通信機をつけてもらい、

サーバはローカル環境からしか接続できない様にした上で、

外部からのメンテナンスは決められたPCからのリモートアクセスVPNからのみ接続可能。

無線LANは認証サーバを使用したID/PWで接続許可している上に、

MACアドレス接続制限をかけ、決められた機器しか接続は一切できない環境

退職した社員はMACアドレス登録機器が無い上、

認証サーバでIDを削除すればWi-Fi接続は完全不可能

 

どちらが安全でしょうか?

どちらがメンテナンスフリーに対応できるでしょうか?

更に万が一突破された際、どちらが侵入経路を特定しやすいでしょうか?

 

同じ様な環境でも、後者の方がはるかにセキュアで便利です。

だからこそ、御社のネットワークを整理し、把握し、不安点を払拭する必要があるのです。

だからこそプロがネットワークを設計し、構築し、管理する必要があるのです。

 

業務用ルータやWi-Fi機器は確かに一般的なルータよりも高価で、施工に知識が必要です。

ただ、その効果は家庭用の比ではありません。

弊社ではそれらの機器設定を安全に、比較的安価に、そして破格でメンテナンスを致します。

プツプツ切れる不健全なネットワークを騙し騙し使うより、

安定した健全なネットワークを使い、御社の業務をスムーズに使って頂ければ

それこそが弊社の一番の喜びです。