Appleのカスタムシリコンチップ、特にAシリーズおよびMシリーズにおいて、SLAP(Speculative Load Address Prediction)およびFLOP(False Load Output Predictions)と名付けられた二つの重大な脆弱性が発見された。これらの欠陥により、クレジットカード情報、位置履歴、さらには個人のメール内容などの機密データが攻撃者に流出する可能性がある。

影響を受けるデバイスは、2021年以降にリリースされたMacBook、iPad、iPhoneなど多岐にわたる。Appleは問題を認識しており、セキュリティアップデートのリリースを予定しているが、ユーザー自身での対策は困難であるため、最新のソフトウェアを適用することが推奨される。

Appleチップに潜む脆弱性の技術的背景と影響

AppleのAおよびMシリーズチップに発見されたSLAP(Speculative Load Address Prediction)とFLOP(False Load Output Predictions)は、投機的実行技術の脆弱性を突いた攻撃である。投機的実行とは、CPUが処理の効率を高めるために、次に実行する命令を事前に予測し処理を進める技術だが、誤った予測が行われた場合、不正なデータアクセスが発生する可能性がある。

SLAPは、AppleのM2およびA15以降のチップに影響を与え、メモリアドレスの誤った予測により、本来アクセスできないデータへの投機的実行が行われる。これにより、メールの内容や閲覧履歴が流出する恐れがある。一方、FLOPはM3およびA17チップに影響を及ぼし、メモリの値を推測する際の誤りを利用して、クレジットカード情報や位置履歴の漏洩につながる可能性がある。

今回の脆弱性は、従来のソフトウェアベースのセキュリティ対策では防ぎきれない。Appleは対応策を検討しているが、投機的実行技術自体の根本的な見直しが求められるかもしれない。

Appleのセキュリティモデルの課題と影響範囲

Appleは独自のハードウェアとソフトウェアを統合することで、高いセキュリティを実現してきた。しかし、SLAPやFLOPの問題は、この強固なセキュリティモデルの盲点を突く形となった。特に、これらの脆弱性はSecure Enclaveとは異なる領域で発生しており、既存の防御策では完全に対応できない点が深刻である。

Appleのデバイスは、アプリやブラウザ間のデータを隔離する仕組みを持つが、SLAPやFLOPはハードウェアレベルで情報の漏洩を引き起こす可能性がある。特に、Mシリーズチップを搭載したMacBookやiPhoneを業務で利用する企業にとって、機密情報の保護がより一層の課題となる。

影響範囲は広く、MacBook、iMac、iPhone 13以降のモデルが対象となる。Appleは脆弱性を認識しており、今後のアップデートでの対応を進めているが、完全な解決には新たなチップ設計の見直しが必要となる可能性がある。

企業・個人が取るべきリスク対策とAppleの対応

Appleは、FLOPに関してはソフトウェアアップデートによる修正が可能とされているが、SLAPに関してはより根本的な対策が求められる可能性がある。企業ユーザーは、影響を受けるデバイスに対して最新のアップデートを適用し、セキュリティパッチの適用を徹底することが重要となる。

また、企業はゼロトラストモデルの導入を進め、社内ネットワークへのアクセス制御を強化することで、リスクを軽減できる。一方、個人ユーザーは、信頼できないウェブサイトでのクレジットカード情報の入力を避け、ブラウザのセキュリティ設定を見直すことで、攻撃リスクを低減できる。

今後、Appleがどのように対応するかが注目される。FLOPの修正は可能だが、SLAPに関してはチップ設計の変更が必要となる可能性があり、Appleの次世代プロセッサの動向が今後の焦点となる。

Source:Cyber Security News