Apple製チップで「秘密鍵流出に繋がる修正不可能な脆弱性」報告|深刻さに関する補足説明も
Apple Mシリーズチップの脆弱性報告
Apple(アップル)社のパソコンなどに搭載されている「Mシリーズチップ」に深刻な脆弱性が見つかり、この脆弱性によってMacデバイスなどから秘密鍵が流出する可能性があることが明らかになりました。
今回の脆弱性は米国の複数の大学の研究者グループが2024年3月21日に発表したもので、「一般的な脆弱性と違ってパッチで修正できるものではないため修正不可能」として注目が集まっています。
この脆弱性をついて重要データを盗み出す攻撃は「GoFetch」と名付けられており、「GoFetch.fail」のサイトではデモ動画も公開されています。
Newly discovered vuln in Apple M-series chips lets attackers extract secret keys from Macs. "The flaw—a side channel allowing end-to-end key extractions when Apple chips run…widely used cryptographic protocols—can’t be patched" https://t.co/yjQTogcIzk
— Kim Zetter (@KimZetter) March 21, 2024
AppleのMシリーズチップで新たに発見された脆弱性によって、攻撃者はMacから秘密鍵を抽出できる可能性がある。
「この欠陥はAppleチップで広く使われている暗号プロトコルを実行する際にエンドツーエンドのキー抽出を可能にするサイドチャネル攻撃であり、パッチを当てることはできない。」
macOSを狙うマルウェアの報告も
「過度な心配は不要」との意見も
今回報告された脆弱性に対処するためには「サードパーティが提供する暗号化ソフトウェア」を利用する必要があるとのことですが、この場合はMシリーズチップの初期バージョンである「M1」や「M2」のチップ性能を大幅に低下させる可能性があるとも伝えられています。
しかし、今回報告されている攻撃が発生する状況は非常に特殊でもあるようで「ユーザーはそれほど心配する必要ない」との意見も多数出ています。
また、上記ポストを投稿したKim Zetter氏もその後に公開した記事の中で『私がTwitterにこの問題を投稿した後、多くの人がこの問題が実際よりもはるかに悪いものだと思い込んでしまった』と語っています。
ただし、Kim Zetter氏は今回の記事で注意喚起も行なっており、セキュリティ・コンサルタント会社CEOの意見を引用する形で『今はこの攻撃を実行に移したいと思っている人いると思われるため、安全面を考慮すると、Apple製品内の仮想通貨ウォレットに大金を入れている場合は、当分の間はそれを削除した方がいいと思う』と説明しています。
こちらの記事もあわせてどうぞ