IntelのSpectre-Meltdownのパッチでユーザーシステムがリブートしてしまう事故も

次の記事

任天堂SwitchのプロジェクタードックYesojoは誰もが夢に見たアクセサリーだ

Intelにとってそれは、楽しい時間ではなかった。先週同社は、チップの脆弱性を二つ公表し、その後それらにはSpectreとMeltdownという名前まで付けられ、そしてさらにIntelだけでなくチップ業界全体の騒動になった。今週同社はパッチを発表したが、今日(米国時間1/12)は、それらをインストールした企業の一部がシステムの唐突なリブートを経験している、という情報がリークされてきた。泣きっ面に蜂、傷口に塩の不運な週だ。

Intelもそれを認め、同社Data Center GroupのVPでゼネラルマネージャーのNavin Shenoyが、この件に関するブログ記事を書いた。

そこにはこう書かれている: “複数の顧客から、ファームウェアのアップデートを適用したあとに高レベルのシステムがリブートする、という報告を受けている。具体的には、これらのシステムは、クライアントとデータセンターの両方でBroadwellとHaswellのCPUが動いている”。

“そのためにファームウェアアップデートの改訂が必要なら、その新たなアップデートは通常のチャネルから配布する”。

この問題はIntelがコントロールできないほど劇症化することはないだろう、とみんなが思っていたまさにそのときに、一層の劇症化が起きてしまった。Wall Street Journalが入手したIntelの極秘メモは、大企業やクラウドプロバイダーたちに、パッチをインストールしないよう指示している。一方Intelは消費者にはすべてのパッチをインストールするようアドバイスし、これはセキュリティの問題ではない、と指摘している。

ソフトウェアの不具合の問題にすぎないし、それは確実に直った、と言いたいところだったが、騒動の肥大化がプレッシャーとなり、ミスが生じたのかもしれない。

SpectreとMeltdownの問題は昨年、GoogleのProject Zeroのセキュリティチームが見つけていた。彼らは、セキュリティよりスピードを優先した設計により、現代的なチップのアーキテクチャに欠陥が生じ、チップのカーネルが露出した、と認識している。その場所にはパスワードや暗号鍵などの秘密情報が保存され、たぶん保護もされている。しかしその欠陥のために、保護がない状態になってしまった。

MeltdownはIntelのチップだけの問題だが、Spectreは今のチップのほとんどすべてにある…AMD, ARM, IBM Power, Nvidiaなどなど。この問題を抱えなかったのは、Raspberry Piだけかもしれない

今のところ、この脆弱性の悪用に関する情報や記録はない。Googleの昨日(米国時間1/11)のブログ記事によると、それは20年も前からチップに存在した脆弱性だが、しかしセキュリティの専門家たちによると、これまでのセキュリティ事故の、どれとどれがこの脆弱性の悪用であるかを特定するのは難しい。20年前からその存在を十分に知っていたとしても、事故原因としての特定は難しいだろう、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa