Mac

MacでMDS/Zombieloadの完全緩和策を有効にする方法

MacでMDS/Zombieloadの完全緩和策を有効にする方法

Mac 上の MDS ゾンビロードを完全に軽減するには、Intel CPU のハイパースレッディングを無効にする必要があります。

特に強力な敵対的脅威環境にいる上級Macユーザーは、Macコンピューター(そしてPC)でIntel MDSプロセッサの脆弱性に対する完全な緩和策を有効にする必要性を感じるかもしれません。MDSはMicroarchitectural Data Sampling(MDS)の略で、俗に「Zombieload」と呼ばれています。これは基本的にIntelプロセッサー自体に存在する脆弱性であり、理論的には、影響を受けるIntelコンピューター(Mac、PC)上の機密データに攻撃者がアクセスできるようになる可能性があります。(セキュリティ関連のニュースをよく追っている方なら、Zombieload脆弱性は昨年のSpectreやMeltdownといったセキュリティ欠陥に似ているとお分かりいただけるでしょう。)

Apple は、macOS Mojave 10.14.5 にセキュリティパッチを、High Sierra および Sierra にセキュリティアップデート 2019-003 を適用しており、ほとんどの Mac ユーザーの問題の防止に役立つはずですが、セキュリティリスクが通常よりも高い環境で作業している他の Mac ユーザーは、さらに進んで MDS / Zombieload に対する完全な緩和策を有効にする必要があると感じるかもしれません。

Intel MDS脆弱性に対する完全な緩和策を有効にするには、CPU自体のハイパースレッディングを無効にする必要があり、マシンのパフォーマンスが約40%低下する可能性があります。これは明らかに深刻なパフォーマンス低下であり、大多数の人はこの種の脆弱性の標的となるようなセキュリティ脅威にさらされる環境にはないため、この対策を講じる必要はありません。

それでも、Intel CPU を搭載した Mac での Zombieload / MDS 攻撃ベクトルについて特に懸念がある場合は、以下で攻撃に対する完全な緩和策を有効にする方法について説明します。

Intel Mac で Zombieload / MDS に対する完全な緩和策を有効にする方法

MacでMDS / Zombieloadの完全な適合性を有効にするには、CPUハイパースレッディングを無効にする必要があり、その結果、パフォーマンスに深刻な影響が出ることを覚えておいてください。ほとんどのMacユーザーは、これを気にする必要はありません。

注意: Mac では、MacOS Mojave、MacOS Sierra、MacOS High Sierra 以降が実行されている必要があります。

  1. まず、MacにmacOS Mojave 10.14.5、High Sierraのセキュリティアップデート2019、またはSierraのセキュリティアップデート2019(またはそれ以降)をインストールします。
  2. Appleメニューに移動し、「再起動」を選択してMacを再起動します。
  3. 再起動後すぐにCommand+Rを押してMacをリカバリモードで起動します。
  4. ユーティリティ画面が表示されたら、メニューバーの「ユーティリティ」メニューをプルダウンし、「ターミナル」を選択します。
  5. 次のコマンドを入力し、リターンキーを押します。

    6. nvram boot-args="cwae=2"

  6. 次に次のコマンドを入力し、もう一度 Enter キーを押します。

    7. nvram SMTDisable=%01

  7. Appleメニューに移動し、「再起動」を選択してMacを再起動します。

完全な緩和策に関するこれらの指示は、Apple から直接提供されたものです。

MacでMDS軽減策を完全に元に戻し、ハイパースレッディングを有効にする方法

ゾンビロード/MDSの完全緩和策を元に戻し、CPUのハイパースレッディングを再度有効化したい場合は、MacのNVRAM/PRAMをリセットして、完全緩和策で定義されたNVRAMの変更をクリアする必要があります。これはすべてのMacモデルで同じです。

  • Macをシャットダウンする
  • Macの電源を入れ、すぐにCOMMAND OPTION PRキーを同時に押し続けます。
  • COMMAND OPTION PRキーを同時に約20秒間押し続けてから離します。
  • 2 回目の起動音が聞こえたら (起動音が鳴る Mac の場合)、または Apple ロゴが表示されたら (T2 チップ搭載の Mac の場合)、キーを放します。

これで、NVRAM がリセットされ、ハイパースレッディングが再び有効になり、MDS の完全な緩和策が解除された状態で、Mac が通常どおり起動するようになります。

何が設定されているかわからない場合は、コマンド ラインから Mac 上の NVRAM 変数を表示することもできます。

ファームウェア パスワードを使用する場合は、NVRAM を効果的にリセットする前に、一時的にパスワードをオフにする必要がある場合があります。

そもそもMDS/Zombieloadとは何でしょうか?

MDS / Zombieload の詳しい背景情報や軽減プロセスについては、MDS のリスクと完全な軽減策について次のように説明している Apple のサポート記事を参照してください。

Intel は、最新の Mac コンピューターを含む、Intel CPU を搭載したデスクトップ コンピューターとノートブック コンピューターに適用される、Microarchitectural Data Sampling (MDS) と呼ばれる脆弱性を公開しました。

本稿執筆時点では、お客様に影響を与える既知の脆弱性は存在しませんが、コンピュータが攻撃を受けるリスクが高まっていると考えるお客様は、ターミナル アプリを使用して追加の CPU 命令を有効にし、ハイパースレッディング処理テクノロジを無効にすることで、これらのセキュリティ問題から完全に保護することができます。

このオプションは macOS Mojave、High Sierra、Sierra で使用でき、コンピューターのパフォーマンスに大きな影響を与える可能性があります。

さらに、完全な緩和策を有効にすると、Intel CPUのハイパースレッディングが無効になり、パフォーマンスが大幅に低下する可能性があります。Appleはこれを次のように説明しています。

ハイパースレッディングの無効化を含む完全な緩和策により、スレッド間およびカーネルとユーザー空間間の遷移時に発生する情報漏洩が防止されます。これは、ローカル攻撃とリモート (Web) 攻撃の両方における MDS の脆弱性と関連しています。

Appleが2019年5月に実施したテストでは、マルチスレッドワークロードと公開ベンチマークを含むテストにおいて、パフォーマンスが最大40%低下することが示されました。パフォーマンステストは特定のMacコンピュータを使用して実施されています。実際の結果は、モデル、構成、使用状況、その他の要因によって異なります。

また、Intel.com で Intel から直接提供される Microarchitectural Data Sampling (MDS) に関する詳細情報もぜひお読みください。

Zombieload / MDSに関するもう一つの情報源は、セキュリティ脆弱性を発見した研究者によって作成された公式のZombieload攻撃開示ウェブサイト(こちら)です。セキュリティ研究者による以下の動画では、仮想マシン内に含まれるTORを使用しているにもかかわらず、標的のマシンから情報を収集するためにZombieload攻撃が使用されている様子が示されています(深刻なセキュリティ上の脅威です!)。

繰り返しになりますが、Mac(およびPC)ユーザーの大多数は、これらのセキュリティ脆弱性について過度に心配する必要はなく、ハイパースレッディングを無効化するといった完全な緩和策を講じる必要もないでしょう。macOS Mojave 10.14.5と、High Sierraおよび/またはSierra向けの関連セキュリティアップデート2019-003をインストールするだけで、ほとんどのMacユーザーの潜在的なリスクを回避できます。また、常に念頭に置いておきたいのは、怪しいソフトウェアや信頼できないソフトウェアは絶対にインストールしないことです。こうした脆弱性のほとんどは、そもそも何らかのマルウェアによって根絶されるため、インストールすることで大きな効果が得られるはずです。