テクノロジー業界は、2017年末にセキュリティ研究者によって発見された2つの新しい脆弱性を修正(または少なくとも軽減)しようと奮闘しています。 メルトダウン そして スペクトラム は世界中で話題になっていますが、それには正当な理由があります。この2つの欠陥は、過去20年間に製造されたIntel、AMD、またはARMプロセッサを搭載したほぼすべてのデバイスに影響を及ぼします。
これらの脆弱性は、スマートフォン、デスクトップ、ラップトップ、クラウドサーバーに影響を与える可能性があり、リストは続きます。これはマイクロソフト独自の問題ではないことに注意してください。他のすべてのオペレーティングシステムベンダーが影響を受けます。
MeltdownとSpectreとは何ですか?
吹き替え メルトダウン そして スペクトラム 、2つの脆弱性により、攻撃者は最新のプロセッサの重大な欠陥を悪用して、にアクセスすることができます。 保護されたカーネルメモリ 。適切なスキルセットがあれば、ハッカーは理論的にはそれらを悪用してプロセッサの特権メモリを危険にさらし、悪意のあるコードを実行してそこから非常に機密性の高いメモリコンテンツにアクセスする可能性があります。このメモリコンテンツには、パスワード、キーストローク、個人データ、その他の貴重な情報を含めることができます。
この一連の脆弱性は、バイパスすることが可能であることを示しています アドレス空間の分離 – 1980年以来のプロセッサ整合性の基盤。これまで、 アドレス空間の分離 ユーザーアプリケーションとオペレーティングシステム間、および2つのアプリケーション間の安全な分離メカニズムと見なされていました。
最新のCPUはすべて、一連の基本的なプロセスを使用して、要求を高速化します。 メルトダウン そして スペクトラム さまざまな指示のタイミングを利用して、機密情報や個人情報を抽出します。セキュリティの専門家は、スペクターはメルトダウンよりも悪用するのが難しいと判断しましたが、メルトダウンよりもかなり多くのダメージを与える可能性があるようです。
それはあなたにどのような影響を与えますか?
一方 メルトダウン ユーザーアプリケーションとOS間の分離をバイパスし、 スペクトラム 2つの異なるアプリケーション間の分離を破ります。おそらく、Spectreで最も心配なのは、ハッカーがプログラム内の脆弱性を見つける必要がなくなったことです。理論的には、堅実なセキュリティショップを運営している場合でも、ベストプラクティスに従ったプログラムをだまして機密情報を漏らすことができます。
セキュリティの脅威について完全に悲観的であるとすれば、もはや100%安全であると見なすことができるアプリケーションはありません。 SpectreとMeltdownを利用した攻撃は確認されていませんが、ブラックハットハッカーがこれらの脆弱性を悪用してデータを入手する方法をすでに検討している可能性があります。
セキュリティパッチ
残念ながら、これはチップレベルのセキュリティ上の欠陥であり、ソフトウェアの更新では完全に修正することはできません。 OSカーネルを変更する必要があるため、侵害を完全に排除する唯一の恒久的な修正は、アーキテクチャの再設計(つまり、CPUの交換)です。これにより、テクノロジー業界の大手企業は選択肢がほとんどなくなりました。以前にリリースされたすべてのデバイスのCPUを置き換えることはできないため、セキュリティパッチを使用して、リスクを可能な限り軽減することが最善の策です。
すべてのオペレーティングシステムベンダーは、欠陥に対処するためのセキュリティパッチをリリースしました(またはリリースする予定です)。ただし、修正には代償が伴います。セキュリティパッチは、OSカーネルがメモリを処理する方法の根本的な変更により、影響を受けるすべてのデバイスの速度を5〜30%低下させると予想されます。
これらの欠陥を修正するためにすべての大企業が集まるのはまれですが、問題が実際にどれほど深刻であるかを示す良い指標でもあります。あまりパニックにならないように、セキュリティアップデートを監視し、これらの脆弱性に対して可能な限り最高の保護をデバイスに提供することをお勧めします。この探求を支援するために、2つのセキュリティ上の欠陥に対する修正のリストをまとめました。
MeltdownおよびSpectreのCPUセキュリティの欠陥から保護する方法
以下に、MeltdownとSpectreの脆弱性から身を守る方法のリストを示します。このガイドは、これらの脆弱性の影響を受ける最も人気のあるデバイスの範囲を含む一連のサブタイトルに分かれています。お使いのデバイスに適したガイドに従って、このリンクに再度アクセスしてください。リリースされた新しい修正で記事が更新されます。
注意: 以下の手順は、2つのセキュリティ上の欠陥に対する最も差し迫った脅威であるメルトダウンに対して主に効果的であることに注意してください。 Spectreはまだ大きな未知数ですが、セキュリティ研究者は、Meltdownよりも悪用するのがはるかに難しいため、リストの2番目に配置しています。
WindowsでSpectreとMeltdownのセキュリティ上の欠陥を修正する方法
Windowsの新しいセキュリティ上の欠陥に対する最大限の保護を確保するために満たす必要のある3つの主要な要件があります。OSの更新、ブラウザの更新、およびファームウェアの更新です。平均的なWindowsユーザーの観点からすると、現時点で最善の方法は、最新のWindows 10アップデートを入手し、パッチを適用したWebブラウザーからWebを閲覧することです。
マイクロソフトはすでに緊急セキュリティパッチを発行しています WU (Windows Update)。ただし、カーネルの変更を妨げているサードパーティのウイルス対策スイートが原因で、一部のPCでは更新が表示されないようです。セキュリティの専門家は、サポートされているウイルス対策プログラムのリストに取り組んでいますが、控えめに言っても、物事は断片化されています。
自動的に更新するように求められていない場合は、実行ウィンドウを開きます( Windowsキー+ R )、「 コントロールアップデート」 ヒット 入る 。の中に Windows Update 画面で、をクリックします アップデートを確認する プロンプトが表示されたら、新しいセキュリティアップデートをインストールします。
Microsoftは、Windows 7、Windows 8.1、およびWindows10でこの問題に対処するための手動ダウンロードリンクも提供しています。
- Windows 7 SP1
- Windows 8.1
- ウィンドウズ10
注意: 上記のリンクには、さまざまなCPUアーキテクチャに応じた複数のアップデートパッケージが含まれています。お使いのPC構成に適用可能なパッチをダウンロードしてください。
ただし、Windows PCをSpectreおよびMeltdownから保護することは、Microsoftセキュリティパッチをダウンロードするよりも少し複雑です。 2番目の防衛線は、使用するWebブラウザのセキュリティパッチです。
- Firefox バージョン57以降の修正がすでに含まれています。
- EdgeとInternetExplorer Windows10の場合 これらの脆弱性を防ぐことを目的としたセキュリティパッチをすでに受け取っています。
- クロム は、1月23日にリリースされる予定のセキュリティパッチを発表しました。
ユーザーは、ブラウザレベルでの保護を確実にするために、自動更新を受け入れるように指示されます。最新のブラウザバージョンがない場合、またはアップデートが自動的にインストールされない場合は、アンインストールして最新バージョンをダウンロードしてください。
別の方法で、チップメーカー(Intel、AMD、およびARM)は、追加のハードウェア保護のためにファームウェアの更新に取り組んでいます。ほとんどの場合、これらはOEMファームウェアアップデートによって個別に配布されます。ただし、作業はまだ始まったばかりなので、ファームウェアの更新がデバイスに届くまでしばらく時間がかかる場合があります。ファームウェアアップデートをリリースするのはOEM次第であるため、修正の可能性があるというニュースがないか、PCのOEMサポートWebサイトで確認することをお勧めします。
MicrosoftがCPUメーカーと提携して、ファームウェアとWindowsUpdateの両方の保護をチェックするツールを作成しているという話はすでにあります。しかしそれまでは、手動で自分自身をチェックする必要があります。
SpectreとMeltdownのセキュリティ上の欠陥を修正する方法 Androidの場合
Androidデバイスは、SpectreおよびMeltdownの脆弱性の影響も受けます。まあ、少なくとも理論的には。脆弱性を発見し、チップメーカーに通知したのはGoogleの調査チームでした(マスコミがその風に乗るずっと前に)。これは、調整された開示が行われる6か月前に発生したため、この遅延により、Googleは競合他社よりも準備が整ったと推測できます。
1月5日から、Googleは 新しいセキュリティアップデート MeltdownとSpectreから保護するためのAndroid用。ただし、Androidレルムの断片化された性質を考えると、必要なときにすぐに取得できない可能性があります。当然、NexusやPixelなどのGoogleブランドの携帯電話が優先され、ほぼ瞬時にOTAを取得しました。
Google以外のメーカーのAndroidスマートフォンをお持ちの場合は、しばらくお待ちいただく可能性があります。ただし、MeltdownとSpectreが注目を集めていることを考えると、プロセスが大幅にスピードアップする可能性があります。
ただし、Androidの製造元に関係なく、 設定 保留中の新しい更新があるかどうかを確認します。そうでない場合は、オンライン調査を行って、電話の製造元がすぐに修正をリリースする予定があるかどうかを確認してください。
SpectreとMeltdownのセキュリティ上の欠陥を修正する方法 iOS
私たちが開示した2つの脆弱性が明らかになったとき、Appleは間違いなく不意を突かれました。同社は当初、自社のデバイスのいずれかがMeltdownとSpectreの影響を受けることを否定していましたが、その後、 欠陥がすべてのiPhoneに影響を与えることを認める 。 iPadとiPodはほぼ同じCPUアーキテクチャを備えているため、セキュリティ上の欠陥の影響を等しく受けます。
Appleは、iOS 11.2でMeltdownの「緩和手順」を開始したと発表しましたが、古いバージョンでの修正のリリース日は発表されていません。次のアップデートは、Safariで潜在的なJavascriptエクスプロイトをプラグインすることを目的としているようです。
Appleの公式声明を待つ間、iPhone、iPad、またはiPodの新しいアップデートに注意してください。に移動 設定>一般>ソフトウェアアップデート 保留中の更新をインストールします。
MacでSpectreとMeltdownのセキュリティ上の欠陥を修正する方法
Appleは当初この問題について口を閉ざしていたが、MacはMeltdownとSpectreの影響も受けている。結局のところ、ほとんど Appleのすべての製品 (Apple Watch以外)が影響を受けます。
同社は、この問題を軽減するために設計された一連の修正をすでにリリースしています。 macOSバージョン10.13.2 、およびトップCEOは、さらに多くの修正が進行中であることを確認しました。また、macOSとiOSの両方でSafariブラウザのアップデートが予定されており、Javascriptの潜在的な悪用を軽減するように設計されていると報告されています。
新しい修正が到着するまで、AppStoreからのアップデートをOSXまたはmacOSに熱心に適用し、可能な限り最新バージョンを使用していることを確認してください。
SpectreとMeltdownのセキュリティ上の欠陥を修正する方法 Chrome OS
Chromebookは、MeltdownとSpectreに対する最も強力な保護レイヤーを備えたデバイスのようです。 Googleは、最近のすべてのChromebookをこれらの新しいセキュリティの脅威から自動的に保護する必要があることを発表しました。で実行されているChromebook ChromeOSバージョン63 (12月にリリース)には、必要なセキュリティ修正がすでに含まれているはずです。
確実に保護するために、ChromeOSの最新のアップデートがあることを確認してください。ほとんどのユーザーはすでにバージョン63を使用していますが、そうでない場合はすぐに更新してください。
より技術的になりたい場合は、次のように入力できます 「」 chrome:// gpu” オムニバーに入れてヒット 入る 。次に、 Ctrl + F 「 オペレーティング・システム 」これにより、カーネルのバージョンを確認できます。カーネルバージョン 3.18 そして 4.4 これらのセキュリティ上の欠陥については、すでにパッチが適用されています。
