MeltdownおよびSpectre脆弱性で気を付けるべきこと
2018年のITセキュリティはMeltdownとSpectreで幕を開けましたね。
https://meltdownattack.com/meltdownattack.com
世界的にも国内でも大きく話題になりましたので、わざわざここで紹介する必要もないかと思います。
Intelが大きく着目されていますが(確かにIntelのCPUが大きく影響を受けます)、AndroidやiOSも影響を受けることがわかっています。
ただし、この脆弱性の影響度合いは、使うコンピュータにより大きく異なる点に注意が必要でしょう。
自分のPCやスマートフォンの場合、影響は大きくない
普通のPCやスマートフォンで、これらの脆弱性を使うためには、まず本体の上でコードが実行できなくてはなりません。「危険なコードが実行される」時点で、通常は侵入済みなので、今回の脆弱性以前の問題です。
普通の人にとって、コードが実行されるのはブラウザでのJavaScript。これだけは対策が必要ですが、既に次のバージョンのブラウザなら対策済みです。
- Internet Explorer 11.192.16299.0 (更新バージョン11.0.50)
- Microsoft Edge 41.16299.15.0
- MozillaFirefox 57.0.4
なお現実に最も多く使われているブラウザであるChromeは1月23日のバージョン64で対応と、やや対応が遅れた状況です(現実に脆弱性が攻略されはじめたら緊急で対策するとは思いますが……)。
また、IEとEdgeについては、マイクロソフトのパッチを適用するためには、セキュリティソフト(アンチウイルスソフト)が対応している必要があります。この対応がない間は、Windows Updateで確認してもこのパッチは来ません。アンチウイルスがマイクロソフト純正(Windows DefenderやMicrosoft Security Essentials)なら当然対応しているので更新しましょう。
レンタルサーバ(VPSや「クラウド」含む)は要注意
低価格なレンタルサーバ、ほとんどのVPS、「クラウド」の多くは、物理的な1組のCPUを複数の利用者で共用するため、これらの脆弱性を使うことで他の利用者の領域を盗み出せてしまいます。
共用部分がなくても、間接的に攻略が可能だと困りますので、チェックはしておきたいところ。
サービスの種類にもよりますが、利用者側での手順(OS更新など)が必要な場合もあるので、「自分が使っているサービス名 Meltdown」とかで要チェックです。
(※サービスのトップページには何も書いてないのに、meltdownつけて検索すると別ページでアナウンスがある、というケースもあるので、最初から検索した方が無難です)