Intel製x86チップにこの程発覚した空前の規模の修正不能な脆弱性について、その分析が進み、詳細が明らかになってきたようです。
当初発表されたキャッシュ周りのアクセス制御に関する脆弱性はその内容もほぼ正確であった事が確定し、Meltdownと名付けられました。手が付けられないコア部分を炉心に、またその影響の大きさをその溶融に例えたという事でしょうか。洒落になってませんね。これはIntel製チップに殆ど特有のもので、その対処方法がOS側でカーネルのメモリ共有周りを無効化する他なく、そのパフォーマンスに対する副作用が甚大である点も同時に確定しています。
既に極めて深刻な事態である事は疑いようがありません。がしかし、さらに悪いことに、これに関連する他の脆弱性も発覚しています。大まかに言えばインストラクションの予測実行の際にMeltdown同様アクセス制御が働かず、権限外のエリアにアクセス出来てしまうというものです。こちらはその部分の名前(Speculative Execution)からSpectreと名付けられました。
Spectreも結果としてはMeltdownと同レベルの極めて深刻な脆弱性ですが、こちらがMeltdownとは別に問題とされる理由は、Intel以外のARMやAMDのチップにも存在するという点にあります。嘘だろ、と信じたくない向きも多いでしょうが、残念ながら既に実証コードも作成されています。すなわち、スマホ等も対象だという事なのです。
で、Spectreの発覚を待って、Intelが遅まきながら出したコメントがまた。その要点は2点で、曰く、まずホームユーザには殆ど影響はない。次に、Intelだけの問題ではない。以上。
・・・頭を下げる事すら出来ないんですかね。この期に及んで責任逃れ一択とか、ブチ切れたユーザからの集団訴訟という名の怒りの業火に焼かれて死ねばいいのです。
付け加えると、IntelのCEOであるBrian KrzanichはGoogleから本件の報告を受けた後の昨年11月に、その所有するIntelの株式を、CEOの資格要件として定款で定められた分を除いて売却していたとの事です。形式的には普通にインサイダー取引ですね。遺憾この上ない話です。なおGoogle曰くそのレポートをIntelに伝えたのは半年以上前だとか。少なくともそれ以降にIntelのCPUを購入したユーザに対しては本件のような重大な欠陥を隠して性能を喧伝した、すなわち詐欺を働いた格好になるわけです。
AMDはAMDで、敵失と見て調子に乗り、当社の製品は問題ない、性能を低下させるパッチは適用除外にしてほしい、等とまで言ったその日の内に同レベルの脆弱性が発覚してしまいました。その言い訳でも言うに事欠き、Spectreをして"小さな問題"等と言って矮小化しようとしています。相対的にマシなだけで、ユーザにしてみればどちらも50歩100歩でしかありません。Intelと一緒に逝ってしまえばいいのです。
両社のあまりの愚かな対応ぶりの陰に隠れてか、ARMは今の所比較的静かですが・・・実はここが一番ヤバいかもしれません。数が桁違いな上に、本件で問題なのはそのARMが専ら責任を負うべきアーキの設計の部分につき、全世界のメーカー各社から本件に関する責任を問われる、すなわち損害賠償等を請求されて然るべき立場にあるからです。言うまでもなく、それらをまともに請求されたら同社単体では耐えられません。親会社たるSoftBankに泣きつくしかないんでしょうけど、大人しく応じるSBでもないだろうし、さてどうするのやら。
一夜にして既存のCPU市場におけるほぼ全ての陣営が崩壊の危機に直面する事になった本件、ヤバいなんてもんじゃありませんね。これはもしかしてRISC-Vの下克上が来る?とか現実逃避の一つもしたくなります。
“Meltdown” and “Spectre”: Every modern processor has unfixable security flaws
[関連記事 [PC] ここ十年のIntel製CPUほぼ全てにハード修正不能でソフト対処後数割性能低下の脆弱性発覚]