HIGHCVE-2017-5754 / CVE-2017-5753 | 2018年1月

Spectre / Meltdown

Intel・AMD・ARMなど現代のほぼすべてのCPUに存在する設計上の欠陥。ソフトウェアのパッチだけでは根本解決できず、CPUの再設計が必要な前例のない脆弱性。

概要

SpectreとMeltdownはCPUの「投機的実行」という性能最適化機能に起因する脆弱性です。現代のCPUは処理を高速化するため、命令の結果を事前に予測して実行しますが、この仕組みを悪用することでメモリ上の機密情報（パスワード・暗号鍵など）を他のプロセスから読み取ることができました。

Meltdown

CVE-2017-5754

カーネルメモリをユーザー空間から読み取れる。Intelに影響が大きい。OSのパッチで対応可能。

Spectre

CVE-2017-5753/5715

他のプロセスのメモリを読み取れる。Intel・AMD・ARM全てに影響。根本的な対策が困難。

1995年以降に製造されたほぼすべてのCPUが影響を受けました。

Intel

AMD

ARM

スマートフォン

クラウドサーバー

組み込み機器

2017年6月

GoogleのProject Zeroチームが発見・各ベンダーに非公開報告

2018年1月3日

予定より早く一般公開（メディアにリークされたため）

2018年1月3日〜

Microsoft・Linux・Apple・Googleが緊急パッチをリリース

2018年1月

パッチ適用でCPU性能が最大30%低下すると判明

2018年以降

SpectreのバリアントV2・V3・V4など派生脆弱性が続々発見

推奨OSを最新状態にアップデート（KPTIパッチ等を適用）

推奨ブラウザを最新版にアップデート（JavaScriptからの攻撃を緩和）

推奨CPUファームウェア（マイクロコード）をアップデート

注意パッチ適用後にCPU性能が低下する場合があります