「米インテル製CPUに欠陥」。英IT系媒体の報道に世界中が騒然となった。その後、米アドバンスト・マイクロ・デバイス(AMD)や英アーム・ホールディングスなどのCPUにも脆弱性が判明し、PCメーカーやソフトベンダーは仕事始めから対応に追われた。

 米グーグルのセキュリティ専門チームは2018年1月3日(米国時間) 、コンピュータの心臓部であるCPUの脆弱性を公表した。CPUが備える高速化機構が悪用され、メモリー上の機密情報を不正に読み取られる可能性がある。PCにとどまらず、スマートフォンやIoT(インターネット・オブ・シングズ)機器、サーバー、ネットワーク機器などCPUを搭載したほとんどのIT機器に影響する。

 この脆弱性を利用するマルウエアは公表時点では見つかっていないが、全ての企業や個人はIT機器やクラウドサービスのソフトが最新の状態になっているかを確認する必要がある。

 グーグルや独サイバラス・テクノロジー、オーストリア・グラーツ工科大学などの研究者が2017年に脆弱性を発見した。情報提供を受けたCPUメーカーやOSベンダーは水面下で対策を進め、米マイクロソフトが月例のセキュリティ更新プログラムの提供を始める1月9日前後に公表する予定だった。

 ところがIT系媒体の英レジスターが「米インテル製CPUに設計上の欠陥が見つかった」と2日に報じたため、グーグルなどが発表日を繰り上げた。インテルの株価は2日の終値から4日にかけて一時8%近く下落。同社は「インテル製CPUだけでなく業界全体の問題」とする声明を3日に発表するなど火消しに追われた。

 見つかった脆弱性は、プログラムで定義した順序を問わずに準備できた命令から実行するアウト・オブ・オーダー実行に潜む脆弱性1種類と、プログラムの分岐先を予測して投機的に実行する機能に関わる脆弱性2種類である。

表 CPUの脆弱性の概要と影響範囲
表 CPUの脆弱性の概要と影響範囲
[画像のクリックで拡大表示]

 「Meltdown(メルトダウン)」と呼ばれる前者は、アプリケーションがカーネルのメモリー上のデータを読み出せてしまうもの。インテル製CPUのほとんどが該当する。「Spectre(スペクター)」と呼ばれる後者は、アプリケーションが別のアプリケーションのデータを読み出せる脆弱性だ。インテル製のほか、アームが設計したCPUやAMD製CPUも該当する。インテルはこれらの脆弱性について「悪用されたとしてもデータの破損や改ざん、削除はできない」と説明する。