最新のIntel CPUに新たな脆弱性が発見、「Indirector」攻撃により機密データ漏洩の可能性

2024年7月4日

当記事のリンクにはアフィリエイト広告が含まれています。

Intelの最新CPUに重大な脆弱性が発見され、機密情報漏洩のリスクが浮上した。カリフォルニア大学サンディエゴ校の研究チームが開発した、「Indirector」と名付けた新たな高精度ブランチターゲットインジェクション（Branch Target Injection: BTI）攻撃手法では、Intel Raptor LakeやAlder Lake世代のプロセッサーが影響を受けることが明らかになったのだ。この攻撃は、CPUの投機的実行を悪用して機密データを抽出する可能性があり、セキュリティ専門家の間で大きな懸念を呼んでいる。

Indirector攻撃の仕組みと影響

Indirector攻撃は、現代のIntel CPUに搭載されている間接分岐予測器 (Indirect Branch Predictor: IBP）と分岐ターゲットバッファ（Branch Target Buffer: BTB）の脆弱性を巧みに利用する。これらのハードウェアコンポーネントは、プログラムの実行速度を向上させるために設計されているが、研究チームはその予測メカニズムに欠陥があることを発見した。

最新CPUのIBP構造 (Credit: indirector.cpusec.org)

具体的には、攻撃者は以下の3つの主要な手法を駆使してIndirector攻撃を実行する：

iBranch Locator：独自開発のツールで、退避ベースの技術を使用して被害者の分岐のインデックスとタグを特定し、特定の分岐のIBPエントリを正確に決定する。
IBP/BTB注入：予測構造に対して標的を絞った注入を行い、投機的なコード実行を実現する。
ASLRバイパス：アドレス空間配置のランダム化（ASLR）を破り、間接分岐とそのターゲットの正確な位置を決定することで、保護されたプロセスの制御フローの予測と操作を容易にする。

これらの手法を組み合わせることで、攻撃者は投機的実行を引き起こし、キャッシュサイドチャネル技術を用いてアクセスされたデータを推測することが可能になる。

研究チームは、IBPとBTBの詳細な構造を初めて包括的に分析し、その結果を論文「Indirector: High-Precision Branch Target Injection Attacks Exploiting the Indirect Branch Predictor」[PDF]にまとめた。この論文では、IBPが3つのテーブルから成る2ウェイセットアソシアティブ構造を持つことや、BTBとIBPが協調して間接分岐の予測を行う仕組みなど、これまで明らかにされていなかった詳細が示されている。

さらに、研究チームはIntelのハードウェアセキュリティ対策であるIBRS、STIBP、IBPBの内部動作についても解析を行い、これらの対策にも未知の脆弱性が存在することを明らかにした。

今回のIndirector攻撃は広範囲に影響を及ぼす可能性がある。特に、クロスプロセスやクロス権限のシナリオでセキュリティ境界を突破し、アドレス空間配置のランダム化（ASLR）を破ることができる点が深刻である。これにより、攻撃者はプロセス間の分離を突破し、高権限のプロセスから機密情報を抽出する可能性があるのだ。

Intelは2024年2月にこの攻撃手法について通知を受け、影響を受けるハードウェアおよびソフトウェアベンダーに情報を提供している。しかし、現時点で効果的な対策は限られており、研究チームは間接分岐予測器バリア（Indirect Branch Predictor Barrier: IBPB）のより積極的な使用と、分岐予測ユニット（Branch Prediction Unit: BPU）設計の強化を提案している。

ただし、IBPBの使用には最大50%のパフォーマンス低下が伴うため、セキュリティと性能のバランスを取ることが課題となっている。Linuxでは、SECCOMPモードへの移行時や、カーネル内で間接分岐が制限されたタスクの実行時にIBPBがデフォルトで有効化されるが、パフォーマンスへの影響を考慮して使用が制限されている。

Indirector攻撃の詳細や対策については、2024年8月に開催される予定のUSENIXセキュリティシンポジウムで発表される。また、研究チームは攻撃の実証コードとツールをGitHubで公開しており、セキュリティ研究者や開発者がさらなる分析や対策の開発に活用することが期待されている。

論文