米Intelは5月14日（現地時間）、同社製CPUで“Microarchitectural Data Sampling（MDS）”と呼ばれる脆弱性が存在することを明らかにした。“Meltdown”や“Spectre”、“Foreshadow”といったCPUの投機的実行機能をターゲットとしたサイドチャネル攻撃の一種で、本来アクセスできないはずの他のプロセスのデータを推測することが可能。PCやクラウドサービスでパスワードや暗号化キーといった機密データを盗み取るために悪用される可能性がある。

同社によると、“MDS”は4つの関連技術で構成されているという。

CVE-2018-12126：Microarchitectural Store Buffer Data Sampling（MSBDS）

CVE-2018-12130：Microarchitectural Fill Buffer Data Sampling（MFBDS）

CVE-2018-12127：Microarchitectural Load Port Data Sampling（MLPDS）

CVE-2018-11091：Microarchitectural Data Sampling Uncacheable Memory（MDSUM）

このうち“CVE-2018-12130”はIntelの調査とは独立した、社外の研究者によっても報告されており、“ZombieLoad”攻撃と名付けられている。“ZombieLoad”の公式サイトで概念実証（PoC）コードが公開されているほか、仮想マシンで隔離されたWebブラウザーからデータを取得するデモビデオが閲覧可能だ。

“MDS”を実際に悪用するのは難しいため、脆弱性の深刻度はそれほど高くはない（“CVSS”の基本値で“3.8”から“6.5”）。また、Intelによるとこれらの脆弱性が実際に悪用されたという報告もないとのこと。第8世代および第9世代のIntel Coreプロセッサーや、第2世代のIntel Xeonプロセッサーをはじめとするハードウェアではすでに解決されており、マイクロコードアップデート（MCU）がリリースされている。OSやハイパーバイザーのアップデートと併用すれば、“MDS”の緩和は可能。これからリリースされるCPUには、ハードウェアレベルで緩和策が実装される予定だ。

なお、各社のセキュリティ情報は以下のWebページで参照できる。

編集部追記： “MDS”に関するUbuntuとVMwareのセキュリティ情報を追加しました。