■なかなか収束しない – CPU の脆弱性問題 –
ZDNet Japan で以下のような記事を見つけた。
CPU脆弱性「Meltdown/Spectre」を悪用した新たな攻撃手法
研究者らが発見
https://japan.zdnet.com/article/35114939/
これ、いまいちよく分からない。
Meltdown と Spectre を利用する手法、なのか、
それとも Meltdown と Spectre と同様の原理を利用した
新たな攻撃手法、なのか?
前者の場合であれば、マルウェア作成の簡単化に繋がることが
考えられるため、マルウェアがバンバン出てくる可能性が
考えられる。
後者の場合は新たな攻撃である以上、
現在の問題に対する修正パッチが効くのかどうか、
再度検討が必要となる。
一応記事中では、
いずれにせよパッチで対応できる、
といっているし、
今回の攻撃も、結局の所投機的実行の問題を利用しているっぽいので、
その記載は正しいと思われる。
ということで、結局の所やっぱりパッチを当てるのが重要。
再起動問題などがあったものの、
それらも踏まえて修正したパッチは出されている模様。
ただ、以下の記事
Intel、Spectre脆弱性の新しい修正ソフトを公開
ユーザーの手元に届くには時間がかかる
http://jp.techcrunch.com/2018/02/22/2018-02-21-intel-ships-update-for-newest-spectre-affected-chips/
によれば、最終的にユーザーレベルにまで配信されるには、
もう少し時間がかかりそうだということらしい。
マルウェアがバンバン出ないうちに、
さっさとパッチを当てられる状態にしてほしいものだ。
しかし、この件に関しては、パッチ問題以外の問題も発生。
どうも集団訴訟を起こされたらしい。
これに関して報じている記事がこちら。
インテル、「Spectre」「Meltdown」脆弱性に関連して集団訴訟が急増
https://japan.cnet.com/article/35114898/
何を損害としているのか、は具体的に明らかにされていないらしいが、
企業としては訴訟を起こされるのはそれだけで対応コストがかかる。
訴訟に勝つか負けるかは今のところ分からないが、
なんだかこの問題、まだもう少し続きそうな感じ。
問題自体も後味もあまりよくない印象があり、
この問題を結局どう活かしていけばいいのか、
よくわからないというのが正直な所。
起こってほしくない問題だが、
起こった以上は次に繋げられる何かが得られればよいのだが。