Intelがマルウェア攻撃をチップレベルで防御する新技術「CET」を次世代モバイルプロセッサ「Tiger Lake」に搭載

Intelが2020年6月15日、チップレベルの新たなセキュリティ機能である「Control-Flow Enforcement Technology(CET)」が、次世代のモバイルプロセッサである「Tiger Lake」に搭載されると発表しました。CETはチップレベルでセキュリティ機能を提供することにより、ソフトウェアのみで防御することが困難なマルウェア攻撃からデバイスを保護できるとのことです。

Intel CET Answers Call to Protect Against Common Malware Threats | Intel Newsroom
https://newsroom.intel.com/editorials/intel-cet-answers-call-protect-common-malware-threats/#gs.8ogtop

Intel brings novel CET technology to Tiger Lake mobile CPUs | ZDNet
https://www.zdnet.com/article/intel-brings-novel-cet-technology-to-tiger-lake-mobile-cpus/

Intel will soon bake anti-malware defenses directly into its CPUs | Ars Technica
https://arstechnica.com/information-technology/2020/06/intel-will-soon-bake-anti-malware-defenses-directly-into-its-cpus/

デバイス上で実行されるマルウェアは、他のアプリの脆弱性を利用してCPUの制御フローを乗っ取り、悪意のあるコードを実行する場合があります。2016年に初めてプレビュー仕様書が発表されたCETは、コンピューター上で悪意のあるコードが実行されるのを防ぐため、CPUの制御フローがハイジャックされないようにする保護機能を提供するとのこと。

CETは制御フローのハイジャックを阻止するため、「shadow stack」と「indirect branch tracking」という2つの保護機能を提供しています。「shadow stack」はリターン(RET)命令を悪用したリターン指向プログラミング(ROP)攻撃からデバイスを保護するため、アプリが目的とする制御フローのコピーを作り、CPUの安全な領域であるshadow stackに格納し、アプリの実行順序で不正が行われないようにする仕組みです。

また、「indirect branch tracking」は分岐命令(ジャンプ命令)を悪用したジャンプ指向／呼び出し指向プログラミング(JOP/COP)攻撃を防ぐため、CPUのジャンプテーブルを使用するアプリの機能を制限する保護機能となっています。

Intelは2020年6月15日、次世代モバイルプロセッサの「Tiger Lake」が、CETが利用可能な初のプロセッサとなると発表しました。Tiger Lakeは10nmプロセスノードに基づいたプロセッサであり、搭載製品は2020年中に出荷される予定だそうです。

by Thomas Hawk

ROP攻撃やJOP攻撃は、実行が許可されている正規のコードを改変することで利用してプログラムの挙動を変えているため、ソフトウェアによる検出や予防が困難だったとのこと。CETはこの問題を解決するため、チップレベルでの防御策を講じることによって異常を検出し、悪意のあるコードの実行を停止できるとIntelは主張しています。

セキュリティ企業のCrowdStrikeでエンジニアリング担当副社長を務めるAlex Ionescu氏は、「ROPに対する効果的なソフトウェアによる緩和策が存在しないため、CETはこのクラスの脆弱性の検出と阻止において非常に効果的です」とコメントしました。

また、IntelはMicrosoftと緊密に協力しており、Windowsが「Hardware-enforced Stack Protection(ハードウェア強制型スタック保護)」と呼ぶCETに対応した機能は、記事作成時点でWindows 10 Insider Previewsに追加されているとのことです。

by Brian Klug