「えっ、そんな簡単に!?」Appleの最新CPUにデータ盗難の脆弱性発覚

Appleの最新CPUに「ちょっとヤバい」脆弱性が見つかったみたいです。なんと、特別なウイルスを仕込まなくても、悪意のあるウェブサイトにアクセスするだけで個人情報が盗まれる可能性があるんです。

そのカギを握るのが「FLOP」と「SLAP」と呼ばれる攻撃手法。Appleの賢いはずのチップが、予測を間違えて「勘違い」することで、データを抜き取られてしまうんだとか。

「じゃあ、どうすればいいの!?」と焦る人も多いはず。でも、Appleは今のところ「大したことないよ」と言っていて、修正パッチは未定…。とりあえず、すぐにできる対策を知っておきましょう！

AppleのMシリーズ＆Aシリーズが狙われるワケ
FLOPとSLAPって何？巧妙すぎる攻撃手法
対策なし!? 今すぐできる自己防衛策とは

AppleのMシリーズ＆Aシリーズが狙われるワケ

AppleのMシリーズとAシリーズのチップは、性能の高さで大人気。でも、実は「ちょっとおっちょこちょい」な一面があって、そこを悪用される可能性があるんです。

問題になっているのは、Apple独自の予測機能。CPUは、データを素早く処理するために「次にどんなデータが必要か」を事前に予測して動いています。これがうまくいけば快適に動作するのですが、もし予測がズレてしまったら…？

攻撃者は、この「ズレ」を利用して、CPUに間違った情報を信じ込ませることができるんです。そして、その結果、本来アクセスできないはずのデータが盗み取られるというわけ。

今回影響を受けるのは、M1以降のMシリーズと、A15以降のAシリーズ。つまり、Macユーザーだけじゃなく、iPhoneユーザーも要注意ということになります。

しかも、この攻撃を仕掛けるのに特別なウイルスを入れる必要はなく、ただ怪しいサイトにアクセスするだけでアウト。攻撃者は、悪意のあるJavaScriptやWebAssemblyを仕込んだウェブページを用意し、そこに誘導するだけで個人情報を盗めてしまうんです。

では、具体的にどんな攻撃手法があるのでしょうか？ここで登場するのが「FLOP」と「SLAP」という、ちょっと変わった名前の攻撃です。

FLOPとSLAPって何？巧妙すぎる攻撃手法

「FLOP」と「SLAP」、どことなくお笑いコンビの名前みたいですが、実はかなり厄介な攻撃手法なんです。これらはAppleのCPUが持つ「予測する力」を逆手に取ったもの。

まず「FLOP」ですが、これは「False Load Output Prediction」の略。日本語にすると「間違った読み込み結果の予測」といった感じですね。M3やA17などの最新チップでは、メモリのデータを事前に予測する機能があるのですが、この予測がズレると、本来アクセスできないはずのデータを引き出せるんです。

例えば、攻撃者が特定のデータを何度も読み込むように仕向けると、CPUが「このデータ、よく使われるし次もこれだろう」と予測してしまうことがあります。そのスキを突いて、攻撃者が本来見れないデータをこっそり覗くという仕組みです。

一方「SLAP」は「Speculative Load Address Prediction」の略。こちらはメモリの「どこにデータがあるか」を予測する機能を利用した攻撃です。M2やA15以降のチップが影響を受けるとされています。

SLAP攻撃では、攻撃者がCPUに「このメモリ領域を読みに行って！」と仕向けることで、実際には許可されていないデータが計算に使われてしまうことがあります。その結果、Gmailの受信トレイの内容やAmazonの注文履歴、さらにはiCloudの予定まで盗まれる可能性があるんです。

つまり、FLOPとSLAPはAppleの「未来予測能力」を逆に利用することで、個人情報を引き抜くトリック。では、こんな危険な脆弱性に対して、Appleはどんな対応をしているのでしょうか？

対策なし!? 今すぐできる自己防衛策とは

「こんなヤバい脆弱性があるなら、Appleもすぐに対策してくれるよね？」と思いたいところですが、実はまだ修正パッチは発表されていません。Appleは「ユーザーにとってすぐに危険が及ぶものではない」と判断しているようです。

とはいえ、やっぱりデータを盗まれるのは怖いですよね。今すぐできる対策として、一番確実なのは「JavaScriptを無効化する」こと。SafariやChromeの設定からJavaScriptをオフにすれば、悪意のあるサイトが攻撃コードを実行できなくなります。

でも、JavaScriptを切ると、多くのサイトが正常に表示されなくなるというデメリットも…。たとえば、Google検索の動作が遅くなったり、YouTubeの再生がうまくいかなくなったりする可能性があります。なので、JavaScriptを完全に無効にするのではなく、「信頼できないサイトではブロックする」という設定にするのが現実的でしょう。

また、怪しいサイトには極力アクセスしないことも大事です。例えば、よくわからない広告をクリックしたり、無料で何かをダウンロードさせるようなサイトには近づかない方が無難です。

それでも心配なら、Appleが正式な修正パッチを出すまでの間、「できるだけ最新のOSにアップデートする」ことを忘れずに。Appleは基本的にセキュリティアップデートを定期的に提供しているので、最新バージョンにしておけば、ある程度のリスクは減らせます。

「AppleのCPUは安心！」と思っていた人には衝撃的なニュースですが、落ち着いて適切な対策を取れば、リスクは最小限にできます。今後のアップデートを注視しつつ、安全なネットライフを送りましょう！

Source：Android Headlines