CPU脆弱性（ぜいじゃくせい）のメルトダウンとスペクター

Googleが2018年1月3日（現地時間）、CPUの脆弱性について発表しました。この報道はネットニュースなどで取り上げられていますが、IT通でないと内容が難しく、パソコン教室で生徒様から対策などへの質問があると思われますので、できる限りわかりやすく記述してみます。

脆弱性（ぜいじゃくせい）とは、プログラムの不具合や機器の設計ミスなどを指します。

メルトダウンとスペクターはCPU（コンピューターの中枢）における不具合を悪用してパスワードや個人情報を抜き取ることができる脆弱性です。

メルトダウンについて

これは皆さまが利用しているパソコンではまず影響ありませんが、商用のサーバーを持つデータセンターではほぼすべての業者が影響をうけます。

メルトダウンは、出回っているCPUではインテル社のCPUで起きる脆弱性です。とはいっても世界のサーバーで9割以上のシェアをインテル社は持っているので、今回のメルトダウンの発見によってインテル社の業績に大きく影響します。

インテル社のCPUでは、CPUの作業を前もって予測して事前に処理を行っておくことでCPUの高速化を実現する技術を持っています。しかしこの技術に問題がありました。ここで扱うデータ（特に機密情報）に対して、特権の無いプログラムでもアクセスできてしまっていたのです。つまりパスワードや個人情報が盗まれる可能性があるわけです。

どこのデータセンターも現在、急いで対策用のプログラムを実行させています。その対策用プログラムのせいでサーバーの実行速度が落ちると言われています。ただ最新の情報ではそれほど変わらないとも言われています。

インテル社は2017年6月に専門家からこの脆弱性の報告を受けていました。インテル社が脆弱性を認めたのは2018年1月3日。この期間にインテル社のCEO（経営者）は大量の自社株を売却していました。脆弱性の発表によりインテル社の株価は下がっており、下がる前にCEOが持っている株を売却したのではないかとの疑惑がかけられています。

スペクターについて

スペクターはインテル社に限らず、すべてのパソコン、スマートフォン、サーバーなどに影響する脆弱性です。

悪意のあるアプリをインストールしてしまうとパスワードや個人情報をインターネット経由で抜かれる可能性があります。対策するまでは怪しげなアプリは実行したりアップデートするのは控えた方が良いかもしれません。アプリに関してはまだ対策は立てられておらず、OSの最新アップデートに頼るしかありません。

最も攻撃を受けやすいのはブラウザ（IEやChromeなどのホームページを表示するソフトウェア）です。Webサイトを表示するとき、悪意のあるWebサイトではJavaScriptなどでパソコン上で命令を実行されてしまう可能性があります。得られたパスワードや個人情報をインターネットで送られてしまうわけです。

ブラウザに関しては各社の対応が早かったので、最新アップデートを行うことで被害を未然に防ぐことは可能かと思います。

対策について

OSとブラウザ共に、各社が対策を発表しています。

マイクロソフト社

Windows10：対策アップデートが配信されています。

Windows8.1とWindows7：次回のWindowsUpdateで配信される予定。

EdgeとInternet Explorer11：対策アップデート配信中。WindowsUpdateを。

アップル社

macOS：バージョン10.13.2以降であれば対策済み。

iOS系（iPhoneなど）：バージョン11.2意向であれば対策済み。Apple Watchは影響なし。

Safari（iPhoneなどにインストールされているブラウザ）：近日中に対策アップデートが配信される。

Google社

Chrome（ブラウザ）：2018年1月23日に対策アップデートが配信される。

GoogleApps（G Suite）：対策済み。

Google Homeなど：ユーザーによる対策は不要。

Android：最新のセキュリティ更新プログラムが適用されていれば対策済み。

その他

Firefox：バージョン57.0.4以降では対策済み。

Linux：既に対策アップデート（カーネルパッチ）は公開済み。それぞれのディストリビューションで確認。