ちょうど1年前の2018年1月、インテルはかつてないほど深刻な影響をもたらすふたつのセキュリティ脆弱性［日本語版記事］の情報を公開するため、さまざまな大学や独立系の研究者とやり取りしていた。それ以来、同社のハッキング対策チームは、自らを“攻撃”する研究を通じて混乱の収拾に当たっている。

「Spectre」と「Meltdown」の名で知られるこのふたつの脆弱性は、処理効率を最大限に高めるためにプロセッサーで採用されているデータ管理手法に存在する欠陥だ。このため、インテルやAMD、ARMといった大手半導体メーカーのチップを搭載する膨大な数の製品が影響を受けることになり、直ちには解決策を提供できなかった。

そこでインテルやほかのメーカーは、一時的な策としてさまざまなソフトウェアのパッチをリリースした。ところが、処理速度の低下という問題をあちこちで引き起こすことになった。

中心的役割を果たすハッカー部隊

何よりも深刻だったのは、MeltdownとSpectre（特に後者）が、20年以上にわたって採用されてきたプロセッサーの設計に、根本的なセキュリティ上の問題があると明らかにしたことだ。実際に18年の1年間で、この「投機的実行（speculative execution）」に伴う脆弱性に関連した欠陥が、インテル内外の研究者たちによって次々と発見された。その多くが、ソフトウェアのパッチだけでは修正できず、プロセッサーの設計概念の見直しを必要とするものだった。

インテルにおいて、この問題への取り組みを中心的に行っているのが、戦略的な攻撃型リサーチや緩和対策を担うグループ「STORM」だ。STORMでは、世界中から召集されたハッカーたちが、これまでにないタイプの攻撃を阻止する活動に従事している。

投機的実行に伴う脆弱性への対応に関しては、製品開発チーム、レガシー・アーキテクチャー・グループ、レスポンスを調整するための折衝およびコミュニケーション部門、セキュリティ研究グループなど、幅広いコラボレーションが必要となる。STORMは技術面で中心的な役割を果たしている。

STORMを含む攻撃型リサーチ部門を率いるデヒネシュ・マノハランは、「MeltdownとSpectreの問題では、きわめて積極的なアプローチを採ってきました」と言う。「対策を講じるべき製品の数とそのスピードにおいて、非常に高い目標を設定したのです」

18年に相次いだ亜種の発見

インテルの攻撃型リサーチチームは、プロアクティヴなセキュリティ・テストや詳細な調査を行う60名ほどのスタッフを抱えている。STORMはその一部門で、十数名の専従スタッフが、実際の影響を示すために攻撃コードのプロトタイプを作成している。それによって、脆弱性の影響が及ぶ範囲を明らかにしたり、可能な緩和策を提案したりしているのだ。

こうした戦略のおかげで、彼らは、投機的実行に関連した攻撃を可能にする亜種を数多く発見した。実際、18年にはこうした脆弱性の報告が相次ぐようになっていた。

STORMを率いるロドリゴ・ブランコは、「いままでにない新しい能力や攻撃が見つかれば、いつでもそれを追跡し、対策を講じ、当社のテクノロジー製品に影響が及ばないようにする必要があります」と語る。「SpectreとMeltdownもそれは同じですが、唯一違うのは、その規模です。なぜなら、（SpectreとMeltdownは）ほかの企業や業界全体に影響を及ぼすものだったからです」

回復してきたインテルの信頼

インテルは、特に18年初頭に業界から批判を受けた。SpectreとMeltdownの問題に関して場当たり的な情報提供しか行わず、自社だけで対応しようとして問題の多いパッチを提供したからだ。

とはいえ、投機的実行に伴う脆弱性への対応に深くかかわってきた外部の研究者たちによれば、インテルはSpectreとMeltdownの問題に極めて真摯に取り組むことで、信用をほとんど回復したという。

オープンソースのエンタープライズ向けITサーヴィスを手がけ、最近IBMに買収されたRed Hatのアーキテクチャー専門家ジョン・マスターズは、「これからも何か新しいものが見つかるでしょう」と言う。

「しかし、以前は誰もこの問題に気づいていませんでした。このためインテルは、セキュリティのためにパフォーマンスを犠牲にしたくないと考えたのです。しかしいま、セキュリティはインテルにとって単にチェックすべき項目ではなく、主要な機能のひとつです。将来のマシンは、いまとは異なったかたちでつくられることになるでしょう」

根本的な対策には4〜5年？

投機的実行に伴う脆弱性への根本的な対策がインテルのチップに講じられるまでには、4～5年かかるという見方もある。それまでの間、インテルは古いプロセッサー用のパッチを提供するだけでなく、18年10月に発表され19年にリリースされるプロセッサーに、物理的な防御策を初めて追加した。

しかし、投機的実行を悪用した攻撃に物理的に対抗するため、プロセッサーの設計概念を根本的に見直す作業は時間がかかる。「マイクロ・アーキテクチャーの設計を一から行うことなど、めったにありません」とマスターズは語る。

インテルは、これまでに達成した成果を強調するばかりで、長期的な見通しを明らかにしていない。だが、同社の攻撃型リサーチチームは、開発のやり直しの規模と重要性について言及している。

インテルのマノハランは、「脆弱性の緩和に努めながら対策を講じるのにかかる時間は、開発する製品の種類によって変わってきます」と言う。「シンプルなアプリケーションなのか、オペレーティングシステムや下位のファームウェアのようなものなのか、新しいシリコンなのかによって、複雑さは大きく異なるのです。また、状況を好転させて問題に対処できる能力も、それぞれの領域によって違ってきます」

特定の製品に縛られないメリット

投機的実行を悪用した攻撃は、STORMが取り組んでいる数多くの研究テーマのひとつに過ぎない。だが18年には、このテーマが大きな注目を浴びることになった。

インテルがMeltdownとSpectreの件を初めて公にしてから数日後、当時CEOを務めていたブライアン・クルザニッチは「セキュリティファースト」という公約を掲げた。そのなかで彼は、「重要なことは、顧客が自分たちのデータが安全であると再び確信できるようにするために、コラボレーションを継続して迅速で効率的なアプローチをつくり上げることにあります」と語った。

それ以来、独立系のセキュリティコンサルタントやほかの外部機関の研究者など、多くの研究者がSTORMに招かれ、それまで連携が少なかったインテルの取り組みを支援してきた。

ソフトウェアコンパイラーのセキュリティ分析専門家で、17年からSTORMに参加したマリオン・マーシャレックは、「われわれは自分たちの分析結果や専門知識をさまざまな製品チームと共有していますが、特定の製品に縛られているわけではありません」と説明する。「製品フローから独立しているという点で、これはとても意味のあることです。スケジュールに縛られることなく、より高度な研究を続けることができます」

直面している脅威の深刻さ

STORMチームは、オレゴン州ヒルズボロにあるインテルのキャンパス内に、オープン形式のオフィスを構えている。「ここはまるで映画のワンシーンのようです」と言って、マーシャレックは笑う。「ホワイトボードがたくさんあり、大勢の人々があちこち飛び回ってはアイデアを壁に書き留めたり、ほかの人と議論したりしています」

また、STORMには非公式のマスコットもいる。それはアルパカだ。きっかけは、STORMの責任者であるブランコが、オレゴン州の農村地域に農場をもっており、そこで数カ月に1回、STORMスタッフの集まりが開催されていることだという。

「わたしが農場の草刈りをしていなかったので、火事になりやすいとクレームを受けたんです」と、ブランコは話す。「それで、草を食べてもらうためにアルパカを飼い始めました。いまでは14頭のアルパカがいます」

とはいえ、こうしたリラックスした雰囲気やチームの一体感は、STORMが直面している脅威の深刻さの裏返しだ。組み込みデヴァイスやモバイル端末から、PCやサーヴァー、スーパーコンピューターにいたるまで、世界中にある膨大な数のデヴァイスが、インテルのプロセッサーを搭載している。チームのメンバーがプレッシャーに押しつぶされないようにするため、対処できる範囲の課題をメンバーに与えることも、ブランコの仕事なのだ。

「わたしにとっては、これはエキサイティングな仕事です。以前は誰も取り組んでいなかった問題に取り組む必要があります。自分の仕事が、すべての影響を決めるのです。わたしにとって、それは驚くべきことです」とブランコは語る。「ただ、経験の少ない研究者にとっては、負担が大きい可能性もあります。圧倒されてしまうかもしれません」

「セキュリティファースト」を守り続けられるか

投機的実行に伴う脆弱性に対処しながら、プロセッサーへの攻撃に関する新たな概念クラスを受け入れなければならないインテルにとって、こうした研究の規模やスケールは、強みと課題の両方になっている。

ミシガン州立大学でコンピューター・アーキテクチャを研究するトーマス・ウェニッシュは、「今回の件でインテルに得てほしい教訓のひとつは、徹底的な防御です」と言う。彼は、セキュアな孤立領域を提供するインテルの技術「SGX」への攻撃など、投機的実行の研究に取り組んでいる。

「もし何者かがシステムのどこか一部に欠陥を見つけたとき、その安全性をどのように維持すればいいのでしょうか。破られにくい設計のチップが登場するのを期待するしかありません」

STORMの研究者は、状況を理解しているようだ。しかし、投機的実行を悪用した攻撃を阻止できるハードウェア防御をインテルが完成させるまでの数年間は、新しいタイプの脅威が次々と登場するだろう。このためインテルは、「セキュリティファースト」の約束を守り続ける必要がある。半導体業界も同様だ。

とはいえ、セキュリティを強化するとスピードや俊敏性が犠牲になることが多い状況では、なかなか難しい。SpectreとMeltdownが生まれたそもそものきっかけは、処理速度を製品のセールスポイントにしていたことなのだ。

経済的なプレッシャーがセキュリティのニーズに合致しないことはよくある。「こうした取り組みが難しいのは、結局のところパフォーマンスを競い合っているからです」とウェニッシュは指摘する。

だが、STORMの仕事は状況がどうであれ、現れてきそうなリスクは何でも詳しく調査し続けることだ。調べる対象が不足することは、まずないだろう。