Loading...
ITVJ

CPU脆弱性問題とVJ的影響度をまとめてみました-meltdownとSpectre-【追記予定】

1月3日より話題となっている、”CPU脆弱性”の問題。
AMDは対象外とか、性能がパッチでダウンするといった情報が数多く出回っていますが実際はどういった状況なのでしょうか。
ほんわかエンジニアリングで見ていきます。

1月11日 22:05 meltdownの対象が一部謝っていたため訂正しました。

◆今回問題となっている脆弱性は2種類

現在あがっている脆弱性は2つあります。
一つは「meltdown(メルトダウン)」、そしてもう一つは「Spectre(スペクター)」です。
双方脆弱性の内容が類似しているため紛らわしいですので、整理していきましょう。

【meltdown】について

これは”投機的実行機能“の穴をついた脆弱性です。
この脆弱性を利用するとCPUのメモリ(中枢メモリ含む)の任意の個所がアプリケーションから読み込みができてしまうというものです。
対象は一部のほぼ全てのIntel製CPUと一部のARM製CPUで、AMD製のCPUはこの脆弱性は含まれまないとされます

GoogleのProjectZeroが1月3日に指摘した脆弱性はこれになります。
https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html

【Spectre】について

これは平たく言うと、アプリから別のアプリのメモリ領域を参照するための細工を行うことで、通常では参照できない領域まで参照できてしまう。
といった内容で、その細工の仕組みとしてマルチコアアーキテクチャを利用するようです。
meltdownに比べると実行は高度かつ困難のようですが、この問題は現在のすべてのCPUに影響されます
Intelが「他ベンダーのCPUも含め現在のCPUアーキテクチャの根幹にかかわる問題」と発言したのはこれのことです。

二つの脆弱性について取りまとめていきます。

・meltdown

→簡易(リモートは困難)、Intel製CPUと一部のARM製CPUのみ

・Spectre

→困難、すべてのマルチコアCPU

◆対策について

それぞれ対抗策が講じられていますが、双方H/Wレベルでの更新が必要であることには差異はありません。
ただしmeltdownは主にIntel/ARMのみでOSレベル。
Spectreはアプリケーションレベルでのパッチが現在出回っている状況です。

meltdown

→暫定対策としてOSのアップデートが推奨される
このアップデートパッチを当てると性能が2%~30%程度低下するとされる。

この問題については実際にEpicGamesが影響があった旨を報告しています。
Epic Games、Meltdown脆弱性に対するパッチの影響でサーバーのCPU使用率が上がり今後クラウドサービスに予期せぬ問題が発生する可能性。

 

 Spectre

→H/Wレベルで対策が必要(ただしCPUの仕組み上非常に困難)、暫定対策としてアプリケーションのアップデートが推奨。
性能低下する可能性はあるが、現状大きな性能低下報告はされていない。

詳細は各参照サイトを張っておきます。

◆VJ的な影響度は?

さて、続いてはVJ的な影響度です。
Meltdownが適応されるIntel/ARM製CPUは現状多くのVJが使用しているPCにインストールされています。Intel入っちゃってる

特にHaswell以前のCPUを使用している場合、性能低下が顕著に出るとの報告もあります。
また、MacOSはパッチの当て方が上手なのか、大きな影響はないともいわれています。

もし、アップデートを行って影響があった方がいたら上記のツイートに返信していただけると幸いです。
この記事に追記させていただきます。
記事の内容が間違ってたら同様に指摘願います。。。何分ほんわかなもので。。。orz



現状報告されている情報を元にまとめてみるとこんな感じです。

Gen MacOS 影響 WindowsOS 影響
Kaby Lake MacBookPro2017年 軽微 Kaby Lake搭載PC 軽微
Skylake MacBookPro2016年 軽微 Skylake搭載PC 軽微
Broadwell MacBookPro2015年 軽微 Broadwell搭載PC 中度
Haswell Refresh MacBookPro2014年 不明 Haswell Refresh搭載PC 不明
Haswell MacBookPro2013年 不明 Haswell搭載PC 不明
それ以前 それ以前のモデル 不明 それ以前のモデル 重度

※現状各ベンダーの発表を元とした表であり実績値ではありません。
※ここで記載する「影響度」はセキュリティ的影響度ではなく「性能低下影響度」です。
※MacbookProのマイナーチェンジモデルは前年モデルに含みます 

◆おわりに

meltdownとスペクターを同一視し、すべてのCPUがパッチによる大きな性能低下があるなどイメージしている人がいますが。
実際はIntel製&ARM製CPUとそれ以外で該当する脆弱性も対応も異なります。
ただ、性能低下されるといってもセキュリティパッチは当てることが推奨です。
根本的な解決についてはH/Wの刷新を待ちましょう。(スペクターはしばらく時間がかかりそうですが…)
次のCPUが出た時が買い替え時、ですね!

 ◆参考サイト

Intelが他社CPUも影響がある旨の声明を行ったページ
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
AMDが自社製CPUの影響度は軽微という声明を行ったページ
https://www.amd.com/en/corporate/speculative-execution
以下参考とさせていただいたサイトです。
https://qiita.com/yasuo-ozu/items/b657141db0d81a9d323e
https://www.gizmodo.jp/2018/01/all-about-meltdown-and-spectre.html
https://bugs.chromium.org/p/project-zero/issues/detail?id=1272
https://qiita.com/dasoran/items/d96ca87e1d541cb3e5b5