「セキュリティ情報」の版間の差分
(ページの作成:「セキュリティ関係の情報を随時掲載します。」) |
|||
| 1行目: | 1行目: | ||
セキュリティ関係の情報を随時掲載します。 | セキュリティ関係の情報を随時掲載します。 | ||
| + | |||
| + | ==MeltdownとSpectre CPUのセキュリティホール== | ||
| + | (仮訳)Riseup Security Bulletinより | ||
| + | |||
| + | すでに報道を読んでいると思いますが、現在使用されているCPUには相互 | ||
| + | に関連する3つのセキュリティ問題があります。 これらの脆弱性は、アク | ||
| + | セスしたWebサイトからJavascriptを読み込んだだけでも、あなたのコン | ||
| + | ピュータからパスワード、秘密、個人情報を盗む悪質なプログラムの可能 | ||
| + | 性が高まります。 これらの脆弱性は深刻なものであり、ソフトウェアを | ||
| + | アップグレードするための対策を講じる必要があります。 | ||
| + | |||
| + | *「Meltdown」と呼ばれる一番目の欠陥は、ほぼすべてのインテルCPUに影響し、ほとんどのオペレーティングシステムのアップデートで修正されています。 | ||
| + | |||
| + | *「Spectre」と呼ばれる他の2つの欠陥は、インテルだけでなく、過去20年間に構築されたほぼすべてのCPUに共通してみられますが、悪用は難しいとされています。 現在のところSpectreを恒久的に修正することはできませんが、ソフトウェアを更新することで攻撃の可能性が低くなります。 | ||
| + | |||
| + | あなたのすべてのデバイスに対して、以下の手順を両方同時に実行すべき | ||
| + | です。 | ||
| + | |||
| + | (1)Webブラウザをアップグレードします(下記参照)。 これらの修正に | ||
| + | よって、CPUに対する新たな攻撃がより困難になります。 | ||
| + | |||
| + | (2)オペレーティングシステムをアップグレードします。 Windows、macOS、 | ||
| + | およびGNU / Linux用のアップデートがあります。これらは、Intel CPUの | ||
| + | メルトダウンの脆弱性を修正し、Spectreに対する若干の緩和措置を提供 | ||
| + | します。さらに、iOSとAndroidの新しいリリースではSpectreに対する緩 | ||
| + | 和措置が含まれています。 | ||
| + | |||
| + | 更なる修正が、オペレーティングシステムとソフトウェアについて、今後 | ||
| + | 数週間あるいは数ヶ月以内に継続して実施されると思われます。 あなた | ||
| + | のシステムを最新の状態に保ってください! | ||
| + | |||
| + | ===ブラウザ=== | ||
| + | |||
| + | ブラウザを更新することで、アクセスしたWebサイトからロードされた | ||
| + | Javascriptを使用して、攻撃者がコンピュータから機密情報を盗むことを | ||
| + | 極めて困難にすることができます。 | ||
| + | |||
| + | * Firefoxのバージョン57.0.4以降には、Specter攻撃への対策が含まれてい | ||
| + | ます[1]。 | ||
| + | |||
| + | * EdgeがSpectre攻撃を緩和する措置を含むように更新されました。 最新の | ||
| + | Windows Updateを適用すると、新しいバージョンのEdgeが取得できます。 | ||
| + | |||
| + | * Safariによれば、Safariは近々更新される予定です。 App Storeのアップ | ||
| + | デートを確認してください。 | ||
| + | |||
| + | * Chromeは、バージョン64以降のSpectreに対する緩和措置が1月23日にリリー | ||
| + | スされる予定です。その間、「サイトの隔離」を有効にすることで、 | ||
| + | Specterの脆弱性を大幅に軽減するように設定を変更できます。 | ||
| + | https://support.google.com/chrome/answer/7623121?hl=en | ||
| + | |||
| + | さらに、Webへのアクセスを安全に保つためのベストプラクティスについ | ||
| + | ては、https://riseup.net/en/better-web-browsingを参照してください | ||
| + | (これらの新しい攻撃に対する軽減にも役立ちます)。 | ||
| + | |||
| + | ===Windows=== | ||
| + | |||
| + | Windows 10の場合、Windowsをアップグレードする前に、最初にアンチウィ | ||
| + | ルスソフトウェアをアップグレードする必要があります。 これをしない | ||
| + | と、コンピュータが動作しなくなる可能性があります。 [2] | ||
| + | |||
| + | Windows 10をアップグレードするには: | ||
| + | |||
| + | > [スタート]ボタンを選択、[設定]> [更新とセキュリティ]> [Windows | ||
| + | > Update]に移動、[更新を確認する]を選択。 | ||
| + | |||
| + | 自動更新を有効にする良い機会でもあります: | ||
| + | |||
| + | >「スタート」ボタンを選択、「設定」>「アップデートとセキュリティ」 | ||
| + | >>「Windows Update」>「詳細オプション」を選択、「アップデートのイ | ||
| + | >ンストール方法の選択」で「自動(推奨)」を選択。 | ||
| + | |||
| + | Windows 7または8の場合もアップデートを利用できます。 | ||
| + | |||
| + | ===MacOS=== | ||
| + | |||
| + | すでにMacOSバージョン10.13.2を使用している場合、Meltdown [3]に対し | ||
| + | ては保護されています。 それ以外の場合は、macOSをアップグレードしま | ||
| + | す。 | ||
| + | |||
| + | > MacでApp Storeアプリを開く。 App Storeツールバーの "Updates"をク | ||
| + | > リック、 "Update"ボタンでリストされたアップデートをダウンロード | ||
| + | > してインストール。 | ||
| + | |||
| + | 自動更新のチェックを有効にする良い機会でもあります: | ||
| + | |||
| + | >アップルメニューを選択、「システム環境設定」>「App Store」>「アッ | ||
| + | >プデートを自動的にチェックする」を選択。 | ||
| + | |||
| + | AppleはSpectreに対していくつかの緩和策を提供するSafariブラウザのアッ | ||
| + | プデートを近々リリースする予定です。 | ||
| + | |||
| + | ===iOS=== | ||
| + | |||
| + | Appleは、iOSガSpectreの影響を受けると述ベており、新らたな攻撃の大 | ||
| + | 半を軽減するアップデートがリリースされました。 iOSバージョン11.2以 | ||
| + | 降の場合、アップデートに対処されています[3]。 新規のアップデートを | ||
| + | 確認するには、[設定]> [一般]> [ソフトウェアアップデート]の順に選択 | ||
| + | します。 | ||
| + | |||
| + | ===Android=== | ||
| + | |||
| + | 悪いニュースは、AndroidがSpectreに脆弱であることです。Googleブラン | ||
| + | ドの携帯電話を持っていない場合や、カスタムファームウェアを実行して | ||
| + | いない場合には、何ヶ月も更新されない可能性があります。 しかし、現 | ||
| + | 時点でセキュリティ研究者の間の共通理解は、Spectre攻撃はかなり困難 | ||
| + | だが、おそらくAndroidデバイスを侵害するより容易な方法はあるという | ||
| + | ことです。 どういうことだろうか? | ||
| + | |||
| + | これらの新しいCPU攻撃に対して、Androidデバイスをより安全にするため | ||
| + | に今できることが1つあります。 | ||
| + | |||
| + | * Chromeで「サイトの隔離」を有効にする:https://support.google.com/chrome/answer/7623121?hl=ja | ||
| + | * 1月23日以降にChromeブラウザをアップグレードする。 | ||
| + | *または、Android用Firefoxを使用する。 | ||
| + | |||
| + | ===Debian / Ubuntu GNU / Linux=== | ||
| + | 「ソフトウェアセンター」または「ソフトウェアアップデータ」を実行。 | ||
| + | |||
| + | または、端末を開いて次のように入力します。 | ||
| + | sudo apt update | ||
| + | sudo apt upgrade | ||
| + | sudo reboot | ||
| + | |||
| + | ===Fedora GNU / Linux=== | ||
| + | 端末を開き、次のように入力。 | ||
| + | sudo dnf --refreshカーネルを更新する | ||
| + | sudoリブート | ||
| + | |||
| + | 安全性を保ち、強靭さを維持してください。 | ||
| + | Riseup Birds | ||
| + | |||
| + | [1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/ | ||
| + | [2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/ | ||
| + | [3] https://support.apple.com/en-us/HT208394 | ||
2018年1月7日 (日) 14:30時点における最新版
セキュリティ関係の情報を随時掲載します。
目次
MeltdownとSpectre CPUのセキュリティホール
(仮訳)Riseup Security Bulletinより
すでに報道を読んでいると思いますが、現在使用されているCPUには相互 に関連する3つのセキュリティ問題があります。 これらの脆弱性は、アク セスしたWebサイトからJavascriptを読み込んだだけでも、あなたのコン ピュータからパスワード、秘密、個人情報を盗む悪質なプログラムの可能 性が高まります。 これらの脆弱性は深刻なものであり、ソフトウェアを アップグレードするための対策を講じる必要があります。
- 「Meltdown」と呼ばれる一番目の欠陥は、ほぼすべてのインテルCPUに影響し、ほとんどのオペレーティングシステムのアップデートで修正されています。
- 「Spectre」と呼ばれる他の2つの欠陥は、インテルだけでなく、過去20年間に構築されたほぼすべてのCPUに共通してみられますが、悪用は難しいとされています。 現在のところSpectreを恒久的に修正することはできませんが、ソフトウェアを更新することで攻撃の可能性が低くなります。
あなたのすべてのデバイスに対して、以下の手順を両方同時に実行すべき です。
(1)Webブラウザをアップグレードします(下記参照)。 これらの修正に よって、CPUに対する新たな攻撃がより困難になります。
(2)オペレーティングシステムをアップグレードします。 Windows、macOS、 およびGNU / Linux用のアップデートがあります。これらは、Intel CPUの メルトダウンの脆弱性を修正し、Spectreに対する若干の緩和措置を提供 します。さらに、iOSとAndroidの新しいリリースではSpectreに対する緩 和措置が含まれています。
更なる修正が、オペレーティングシステムとソフトウェアについて、今後 数週間あるいは数ヶ月以内に継続して実施されると思われます。 あなた のシステムを最新の状態に保ってください!
ブラウザ
ブラウザを更新することで、アクセスしたWebサイトからロードされた Javascriptを使用して、攻撃者がコンピュータから機密情報を盗むことを 極めて困難にすることができます。
- Firefoxのバージョン57.0.4以降には、Specter攻撃への対策が含まれてい
ます[1]。
- EdgeがSpectre攻撃を緩和する措置を含むように更新されました。 最新の
Windows Updateを適用すると、新しいバージョンのEdgeが取得できます。
- Safariによれば、Safariは近々更新される予定です。 App Storeのアップ
デートを確認してください。
- Chromeは、バージョン64以降のSpectreに対する緩和措置が1月23日にリリー
スされる予定です。その間、「サイトの隔離」を有効にすることで、 Specterの脆弱性を大幅に軽減するように設定を変更できます。 https://support.google.com/chrome/answer/7623121?hl=en
さらに、Webへのアクセスを安全に保つためのベストプラクティスについ ては、https://riseup.net/en/better-web-browsingを参照してください (これらの新しい攻撃に対する軽減にも役立ちます)。
Windows
Windows 10の場合、Windowsをアップグレードする前に、最初にアンチウィ ルスソフトウェアをアップグレードする必要があります。 これをしない と、コンピュータが動作しなくなる可能性があります。 [2]
Windows 10をアップグレードするには:
> [スタート]ボタンを選択、[設定]> [更新とセキュリティ]> [Windows > Update]に移動、[更新を確認する]を選択。
自動更新を有効にする良い機会でもあります:
>「スタート」ボタンを選択、「設定」>「アップデートとセキュリティ」 >>「Windows Update」>「詳細オプション」を選択、「アップデートのイ >ンストール方法の選択」で「自動(推奨)」を選択。
Windows 7または8の場合もアップデートを利用できます。
MacOS
すでにMacOSバージョン10.13.2を使用している場合、Meltdown [3]に対し ては保護されています。 それ以外の場合は、macOSをアップグレードしま す。
> MacでApp Storeアプリを開く。 App Storeツールバーの "Updates"をク > リック、 "Update"ボタンでリストされたアップデートをダウンロード > してインストール。
自動更新のチェックを有効にする良い機会でもあります:
>アップルメニューを選択、「システム環境設定」>「App Store」>「アッ >プデートを自動的にチェックする」を選択。
AppleはSpectreに対していくつかの緩和策を提供するSafariブラウザのアッ プデートを近々リリースする予定です。
iOS
Appleは、iOSガSpectreの影響を受けると述ベており、新らたな攻撃の大 半を軽減するアップデートがリリースされました。 iOSバージョン11.2以 降の場合、アップデートに対処されています[3]。 新規のアップデートを 確認するには、[設定]> [一般]> [ソフトウェアアップデート]の順に選択 します。
Android
悪いニュースは、AndroidがSpectreに脆弱であることです。Googleブラン ドの携帯電話を持っていない場合や、カスタムファームウェアを実行して いない場合には、何ヶ月も更新されない可能性があります。 しかし、現 時点でセキュリティ研究者の間の共通理解は、Spectre攻撃はかなり困難 だが、おそらくAndroidデバイスを侵害するより容易な方法はあるという ことです。 どういうことだろうか?
これらの新しいCPU攻撃に対して、Androidデバイスをより安全にするため に今できることが1つあります。
- Chromeで「サイトの隔離」を有効にする:https://support.google.com/chrome/answer/7623121?hl=ja
- 1月23日以降にChromeブラウザをアップグレードする。
- または、Android用Firefoxを使用する。
Debian / Ubuntu GNU / Linux
「ソフトウェアセンター」または「ソフトウェアアップデータ」を実行。
または、端末を開いて次のように入力します。 sudo apt update sudo apt upgrade sudo reboot
Fedora GNU / Linux
端末を開き、次のように入力。 sudo dnf --refreshカーネルを更新する sudoリブート
安全性を保ち、強靭さを維持してください。 Riseup Birds
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/ [2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/ [3] https://support.apple.com/en-us/HT208394
