またしてもAppleのチップにセキュリティ問題が発覚しました。M2やM3を搭載したデバイスが、特定の攻撃を受けるとブラウザから個人情報を盗まれる可能性があるそうです。

この問題を発見したのは、ドイツとアメリカの研究者たち。彼らは「FLOP」と「SLAP」という2つの脆弱性を報告し、攻撃の手口まで詳しく解説しています。

Appleもこの問題を認識しているものの、すぐに対応する様子はなさそう。「それほど深刻ではない」とのことですが、本当に安心して大丈夫なのでしょうか?

AppleのM2・M3チップに新たなセキュリティ問題発覚!

またまたAppleのチップに問題発生です。M2やM3を搭載したデバイスに、新しいセキュリティの脆弱性が見つかりました。発見したのは、アメリカとドイツの研究者チーム。今回の問題は、プロセッサの「推測実行」という仕組みに関係しているそうです。

推測実行とは、CPUが処理をスムーズにするために「たぶんこうなるだろう」と先回りして動く機能のこと。しかし、この予測が外れると、本来アクセスできないデータが処理されることがあるのです。これを悪用すると、個人情報やパスワードが盗まれる可能性があるとか…。過去に話題になった「Spectre」や「Meltdown」という脆弱性と似た仕組みですね。

今回見つかった問題は「FLOP」と「SLAP」と名付けられました。なんとも覚えやすい名前ですが、意味を知ると笑っていられません。特にM2とM3チップを搭載したMacやiPhoneが影響を受ける可能性があるため、かなりのユーザーが巻き込まれるかもしれません。

気になるのは「じゃあどうやって攻撃されるの?」という点。実は、悪意のあるウェブサイトを開いただけで、ブラウザ経由で個人情報が抜かれる可能性があるのです。普通にネットサーフィンしているだけで被害に遭うなんて、なかなか厄介ですね。

この問題、Appleはすでに認識していますが、まだ修正プログラムの提供はされていません。とはいえ、今すぐ大騒ぎする必要はなさそうです。現時点では大規模な攻撃は確認されておらず、対策を講じる時間はありそうです。それでも心配な人は、信頼できるサイト以外は開かないようにするのが賢明ですね。

ハッカーが狙う“FLOP”と“SLAP”とは?

今回のセキュリティ問題で注目されているのが「FLOP」と「SLAP」という2つの脆弱性です。名前だけ聞くと、なんだかコメディ映画のタイトルみたいですが、実際はちょっとシャレになりません。

「FLOP」は、AppleのM3やA17チップに関係する問題で、CPUがメモリのデータを「予測」する仕組みを悪用します。本来なら、メモリのデータが確定するまで待つのが普通ですが、FLOPでは「こういうデータが返ってくるはず!」とCPUが勝手に予測して動いてしまいます。もし攻撃者がこの仕組みを利用すると、誤ったデータを使って計算をさせ、秘密の情報をこっそり抜き取ることができるそうです。

一方「SLAP」は、M2やA15チップに影響する脆弱性です。こちらは、CPUが本来アクセスできないデータを勝手に処理してしまうという問題。ハッカーが悪意のあるウェブサイトを用意し、特定のJavaScriptコードを仕込むことで、被害者の個人情報が盗まれる可能性があります。

「え、それってどうやって防げばいいの?」と思いますよね。現時点では、完全に防ぐ方法はありませんが、少なくとも怪しいサイトにアクセスしないことが重要です。また、今後Appleが修正プログラムを出す可能性があるので、OSのアップデートは必ず適用するようにしましょう。

ちなみに、この2つの脆弱性を発見したのは、去年「iLeakage」という別のセキュリティ問題を発見した研究チームです。彼らは以前からAppleのチップの問題を研究しており、今回もAppleに詳細な報告を行っています。とはいえ、Apple側は「そこまで大きな問題ではない」として、即座の対応をする予定はなさそうです。

「FLOP」や「SLAP」というちょっと笑える名前とは裏腹に、実際の影響はかなり深刻な可能性があります。特に今後、これらの脆弱性を利用した攻撃手法がさらに洗練される可能性もあるので、セキュリティ意識は常に持っておくべきですね。

Appleの対応は?「今すぐ心配する必要はない」って本当?

この問題についてAppleはどう考えているのでしょうか?実は、意外にも「そこまで大きな脅威ではない」との立場を取っています。確かに脆弱性があることは認めていますが、今すぐ修正するほどの危険性はないと判断しているようです。

Appleは研究者たちから報告を受け、FLOPについては昨年9月、SLAPについては今年3月に認識していました。しかし、現時点で修正プログラムは発表されておらず、「ユーザーに対する即時のリスクはない」とコメントしています。

この対応には賛否が分かれそうです。Appleが問題を軽視しているわけではないにせよ、過去にも「大丈夫」と言われていたセキュリティ問題が後々大きな被害につながったケースもあります。特にブラウザ経由で情報が盗まれる可能性がある以上、「大したことない」と決めつけるのはちょっと早い気もしますね。

では、私たちユーザーはどうすればいいのでしょうか?今のところ、以下の対策をしておくのがベストです。

  1. 怪しいサイトにはアクセスしない:信頼できるウェブサイト以外は開かないようにしましょう。
  2. OSやブラウザを最新の状態にする:Appleが今後修正を発表する可能性があるので、アップデートは必ず適用を。
  3. 不要なJavaScriptをブロックする:セキュリティ拡張機能を使うことで、一部の攻撃を防げるかもしれません。

Appleが「そこまで大きな問題ではない」と言うのを信じるかどうかは、最終的にユーザーの判断次第。とはいえ、心配しすぎる必要はないものの、最低限の対策はしておくに越したことはありませんね。

Source:TechRadar