セキュリティ情報
セキュリティ関係の情報を随時掲載します。
目次
MeltdownとSpectre CPUのセキュリティホール
(仮訳)Riseup Security Bulletinより
すでに報道を読んでいると思いますが、現在使用されているCPUには相互 に関連する3つのセキュリティ問題があります。 これらの脆弱性は、アク セスしたWebサイトからJavascriptを読み込んだだけでも、あなたのコン ピュータからパスワード、秘密、個人情報を盗む悪質なプログラムの可能 性が高まります。 これらの脆弱性は深刻なものであり、ソフトウェアを アップグレードするための対策を講じる必要があります。
- 「Meltdown」と呼ばれる一番目の欠陥は、ほぼすべてのインテルCPUに影響し、ほとんどのオペレーティングシステムのアップデートで修正されています。
- 「Spectre」と呼ばれる他の2つの欠陥は、インテルだけでなく、過去20年間に構築されたほぼすべてのCPUに共通してみられますが、悪用は難しいとされています。 現在のところSpectreを恒久的に修正することはできませんが、ソフトウェアを更新することで攻撃の可能性が低くなります。
あなたのすべてのデバイスに対して、以下の手順を両方同時に実行すべき です。
(1)Webブラウザをアップグレードします(下記参照)。 これらの修正に よって、CPUに対する新たな攻撃がより困難になります。
(2)オペレーティングシステムをアップグレードします。 Windows、macOS、 およびGNU / Linux用のアップデートがあります。これらは、Intel CPUの メルトダウンの脆弱性を修正し、Spectreに対する若干の緩和措置を提供 します。さらに、iOSとAndroidの新しいリリースではSpectreに対する緩 和措置が含まれています。
更なる修正が、オペレーティングシステムとソフトウェアについて、今後 数週間あるいは数ヶ月以内に継続して実施されると思われます。 あなた のシステムを最新の状態に保ってください!
ブラウザ
ブラウザを更新することで、アクセスしたWebサイトからロードされた Javascriptを使用して、攻撃者がコンピュータから機密情報を盗むことを 極めて困難にすることができます。
- Firefoxのバージョン57.0.4以降には、Specter攻撃への対策が含まれてい
ます[1]。
- EdgeがSpectre攻撃を緩和する措置を含むように更新されました。 最新の
Windows Updateを適用すると、新しいバージョンのEdgeが取得できます。
- Safariによれば、Safariは近々更新される予定です。 App Storeのアップ
デートを確認してください。
- Chromeは、バージョン64以降のSpectreに対する緩和措置が1月23日にリリー
スされる予定です。その間、「サイトの隔離」を有効にすることで、 Specterの脆弱性を大幅に軽減するように設定を変更できます。 https://support.google.com/chrome/answer/7623121?hl=en
さらに、Webへのアクセスを安全に保つためのベストプラクティスについ ては、https://riseup.net/en/better-web-browsingを参照してください (これらの新しい攻撃に対する軽減にも役立ちます)。
Windows
Windows 10の場合、Windowsをアップグレードする前に、最初にアンチウィ ルスソフトウェアをアップグレードする必要があります。 これをしない と、コンピュータが動作しなくなる可能性があります。 [2]
Windows 10をアップグレードするには:
> [スタート]ボタンを選択、[設定]> [更新とセキュリティ]> [Windows > Update]に移動、[更新を確認する]を選択。
自動更新を有効にする良い機会でもあります:
>「スタート」ボタンを選択、「設定」>「アップデートとセキュリティ」 >>「Windows Update」>「詳細オプション」を選択、「アップデートのイ >ンストール方法の選択」で「自動(推奨)」を選択。
Windows 7または8の場合もアップデートを利用できます。
MacOS
すでにMacOSバージョン10.13.2を使用している場合、Meltdown [3]に対し ては保護されています。 それ以外の場合は、macOSをアップグレードしま す。
> MacでApp Storeアプリを開く。 App Storeツールバーの "Updates"をク > リック、 "Update"ボタンでリストされたアップデートをダウンロード > してインストール。
自動更新のチェックを有効にする良い機会でもあります:
>アップルメニューを選択、「システム環境設定」>「App Store」>「アッ >プデートを自動的にチェックする」を選択。
AppleはSpectreに対していくつかの緩和策を提供するSafariブラウザのアッ プデートを近々リリースする予定です。
iOS
Appleは、iOSガSpectreの影響を受けると述ベており、新らたな攻撃の大 半を軽減するアップデートがリリースされました。 iOSバージョン11.2以 降の場合、アップデートに対処されています[3]。 新規のアップデートを 確認するには、[設定]> [一般]> [ソフトウェアアップデート]の順に選択 します。
Android
悪いニュースは、AndroidがSpectreに脆弱であることです。Googleブラン ドの携帯電話を持っていない場合や、カスタムファームウェアを実行して いない場合には、何ヶ月も更新されない可能性があります。 しかし、現 時点でセキュリティ研究者の間の共通理解は、Spectre攻撃はかなり困難 だが、おそらくAndroidデバイスを侵害するより容易な方法はあるという ことです。 どういうことだろうか?
これらの新しいCPU攻撃に対して、Androidデバイスをより安全にするため に今できることが1つあります。
- Chromeで「サイトの隔離」を有効にする:https://support.google.com/chrome/answer/7623121?hl=ja
- 1月23日以降にChromeブラウザをアップグレードする。
- または、Android用Firefoxを使用する。
Debian / Ubuntu GNU / Linux
「ソフトウェアセンター」または「ソフトウェアアップデータ」を実行。
または、端末を開いて次のように入力します。 sudo apt update sudo apt upgrade sudo reboot
Fedora GNU / Linux
端末を開き、次のように入力。 sudo dnf --refreshカーネルを更新する sudoリブート
安全性を保ち、強靭さを維持してください。 Riseup Birds
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/ [2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/ [3] https://support.apple.com/en-us/HT208394