ニュース 2019.06.05 インテル製CPUに脆弱性が発覚、macOSやWindowsのアップデートを
米インテルは5月14日、同社製のCPUに“マイクロアーキテクチャ・データ・サンプリング(MDS)”と呼ばれる重大な脆弱性が存在することを明らかにした。
この脆弱性を悪用されると、PCやクラウドサービスで使用しているパスワードや暗号化キーといった機密データの他、ブラウザの閲覧履歴などの情報が盗み取られる危険性がある。
発表時点ではこの脆弱性を利用した攻撃は確認されていないため慌てて騒ぎ立てる必要はないが、該当するデバイスを所持している場合は速やかにシステムをアップデートするなどの対策が必要だ。
流出した個人情報は印企業が無断で公開か
テッククランチが独自に調査を行ったところでは、個人情報が公開されていたデータベースの持ち主はインドのムンバイに拠点を構える「Chtrbox」というソーシャルメディアマーケティング会社であると判明した。
同社はインフルエンサーを雇って、スポンサー付きのコンテンツを各自のアカウントから投稿させるており、データベース内に登録されていたデータには、個々のインフルエンサーのアカウントの価値を算出した数字も含まれていたようだ。
フォロワー数、エンゲージメント、リーチ、お気に入りおよび共有の数に基づいて計算したこのアカウントの価値は、その会社がインスタグラム上のインフルエンサーや著名人に、広告の投稿に対して支払うべき金額を決める際の指標として使われる。
影響を受けるのは2011年以降のインテル製プロセッサ
今回の脆弱性には「ZombieLoad」と呼ばれる名称が付けられており、2011年以降のインテル製プロセッサが影響を受けるものとされており、この「ZombieLoad」が攻撃を受けると個人のブラウザ閲覧情報やその他の機密データが盗み出されてしまう。
攻撃の対象となりうるのは、パソコンの他にクラウドシステムも含まれるが、 iPhoneやiPad、Apple Watchに使われているプロセッサは該当する脆弱性を持たないため影響を受けることはない。
「ZombieLoad」の解説サイト(zombieloadattack.com)
こちらの動画は、実際に今回の脆弱性が悪用されているシーンを映しており、たとえ匿名性のあるブラウザや検索エンジンを使っていても、攻撃者がユーザーのウェブサイト訪問情報を盗み取ることに成功しているのが見て取れる。
Apple、Microsoft、Googleなどがアップデート情報を展開
Appleは、5月14日に「ZombieLoad」攻撃に対応したmacOS 10.14.5を公開しており、旧バージョンとなるmacOS SierraやmacOS High Sierra向けのセキュリティアップデートも公開している。
MicrosoftもWindowsアップデートを公開しているほか、Googleなども今回の脆弱性に対応したアップデートを公開してるため、該当するPCやサービスを所持・使用している場合には早急に対応を行いたい。
【関連リンク】
・Side Channel Vulnerability Microarchitectural Data Sampling(Intel)https://www.intel.com/content/www/us/en/architecture-and-technology/mds.html
・ZOMBIELOAD ATTACK(Graz University of Technology)
https://zombieloadattack.com
・インテルCPUに重大バグZombieLoad発見、各社がパッチを相次いでリリース(Tech Crunch)
https://jp.techcrunch.com/2019/05/15/2019-05-14-intel-chip-flaws-patches-released/
TEXT:セキュリティ通信 編集部
PHOTO:iStock