Appleの最新デバイスに深刻な脆弱性　SLAPとFLOPがもたらす危険性

Appleの最新デバイスに深刻なセキュリティ脆弱性が発覚した。ジョージア工科大学の研究者が発見した「SLAP」と「FLOP」と呼ばれる脆弱性は、A15およびM2以降のチップを搭載するすべてのiPhone、iPad、Macに影響を及ぼす。

これらの脆弱性は、Appleのプロセッサに搭載される「投機的実行」という技術を悪用し、攻撃者がウェブブラウザの開いているタブの内容を覗き見ることを可能にする。特にFLOPは、SafariだけでなくGoogle Chromeにも影響を与える点で危険度が高い。

Appleはすでに修正作業を進めているが、現時点でユーザーが取れる対策はほとんどない。セキュリティの専門家は、不審なウェブサイトへのアクセスを避けるなど、慎重なオンライン行動を呼びかけている。

SLAPとFLOPの仕組みと影響　投機的実行がもたらす脆弱性

SLAPとFLOPは、Appleのプロセッサに組み込まれた「投機的実行（speculative execution）」という仕組みを悪用する。投機的実行は、CPUの高速化を目的として、必要になる可能性の高い処理を事前に行う技術である。しかし、この機能を悪用すると、本来アクセスできないはずのデータを読み取ることが可能になる。

SLAP（Speculation Attacks via Load Address Prediction）は、メモリアドレスの予測機能を標的とし、攻撃者が不正な命令を仕込むことで情報を抜き取る。一方、FLOP（False Load Output Predictions）は、誤ったデータをCPUが処理する際の隙を突き、より広範囲な情報漏洩を可能にする。

この問題は、投機的実行に起因する過去の脆弱性「Spectre」や「Meltdown」と同様の攻撃手法であり、Appleのデバイスだけでなく、チップ設計そのものに依存する問題でもある。そのため、ソフトウェアアップデートによる完全な修正が難しく、ファームウェアやハードウェアレベルでの対応が求められる可能性がある。

Appleの対応と今後の見通し　ユーザーが取るべき対策はあるのか

Appleは、SLAPとFLOPの脆弱性について2024年5月と9月に報告を受けており、現在修正作業を進めている。しかし、公式声明によれば「現時点で即座にユーザーに危険を及ぼすものではない」との見解を示している。これは、攻撃が実際に行われた証拠が確認されていないことを意味するが、脆弱性が存在する以上、潜在的なリスクは依然として高い。

現時点でユーザーができる対策は限定的である。例えば、不審なウェブサイトへのアクセスを避ける、信頼できるソースからのみ情報を得る、最新のOSアップデートを適用することなどが挙げられる。しかし、これらの対策は根本的な解決策にはならず、Apple側の対応を待つほかないのが実情だ。

また、AppleのA15およびM2以降のチップに依存する問題であるため、MacだけでなくiPhoneやiPadも同様に影響を受ける点は特に注意が必要だ。今後のアップデートにおいて、どの程度の修正が可能なのか、Appleの対応が注目される。専門家の間では、パフォーマンスへの影響を抑えつつ脆弱性を修正することが最大の課題になると指摘されている。

Source：9to5Mac