投機的実行に基づくマイクロアーキ攻撃（Spectre / Meltdown）

なぜ「速くするための仕組み」が穴になるのか

Meltdown と Spectre（2018年公開）は、特定のバグではなく、現代 CPU の性能を支える根本的な設計――投機的実行（speculative execution）とアウトオブオーダ実行（out-of-order execution）――が原理的に持つ欠陥です。CPU はメモリ待ちで止まらないよう、後続命令の結果を先に計算しておく。分岐の行き先が確定する前に予測で先へ進み、外れたら結果を破棄します。

問題は、破棄されるのはアーキテクチャ状態（レジスタやメモリの公式な値）だけで、その投機中に動いたキャッシュなどのマイクロアーキ状態は巻き戻らない点です。つまり「なかったことにした計算」が、キャッシュに載ったか否かという形で痕跡を残す。攻撃者はこの痕跡を、サイドチャネル攻撃で定番のキャッシュタイミング計測で読み出します。

痕跡の作り方：秘密をキャッシュに「符号化」する

両攻撃に共通する核は、読めた秘密の値そのものではなく、その値を使ったメモリアクセス位置をキャッシュに刻むことです。攻撃者は事前に大きな配列 probe[256 * 4096] を用意し、キャッシュから追い出しておきます。そして投機中に、盗んだ1バイト secret を使って probe[secret * 4096] に触れさせる。* 4096（ページサイズ）はキャッシュライン同士の干渉（プリフェッチ）を避けるための間隔です。

投機実行中（本来は許されない読み取り）:
  secret = *(kernel_or_oob_pointer)   // 一時的に値が読める
  tmp    = probe[secret * 4096]       // secret の値の場所だけキャッシュに載る

投機が巻き戻った後（アーキ的には何も起きていない）:
  for i in 0..255:
      t = 時間計測( probe[i * 4096] を読む )
      if t が速い:  // ここだけキャッシュに残っている
          secret = i // 秘密の1バイトが復元できた

巻き戻りで secret も tmp も消えますが、probe のうち「secret 番目のスロット」だけはキャッシュに残る。後から256個のスロットを総当たりで計測し、一つだけアクセスが速いインデックスが秘密の値です。これを Flush+Reload と呼びます。秘密を1バイトずつずらして繰り返せば、任意長のデータを抜けます。

Meltdown：権限例外を投機が追い越す

Meltdown（CVE-2017-5754）は主に Intel CPU を直撃しました。ユーザープロセスがカーネル空間のアドレスを読もうとすると、権限チェックで例外（フォルト）が発生して読み取りは失敗するはずです。ところが脆弱な実装では、例外の確定処理が完了する前に、アウトオブオーダ実行が後続命令を投機的に走らせてしまう。その短い窓の間、カーネルのデータが一時的にレジスタへ読まれ、上記の手順でキャッシュに符号化されます。

raise_exception(); // ← この権限例外は最終的に発生するが…
secret = *(kernel_address);     // 例外確定前に投機実行で値が読めてしまう
probe[secret * 4096];           // その値をキャッシュへ符号化
// その後で例外がコミットされ、secret はアーキ的には破棄される

例外で命令はリタイア（正式完了）しないため、プログラム的にはアクセスは「失敗」です。しかしキャッシュ痕跡は残る。Meltdown が深刻だったのは、カーネルが物理メモリ全体を自アドレス空間にマップする慣行と組み合わさり、攻撃者がカーネル経由でマシン上のほぼ全メモリを読めた点です。

Spectre：分岐予測を汚染し、被害者に読ませる

Spectre は Meltdown より広く、根治しにくい欠陥です。Meltdown が「攻撃者プロセス自身が直接カーネルを覗く」のに対し、Spectre は被害者プロセス（カーネルやサンドボックス内のコードを含む）の分岐予測器を攻撃者が訓練して汚染し、被害者自身に不正な投機実行をさせる。代表的な2バリアントを押さえます。

Spectre V1：境界チェックバイパス（CVE-2017-5753）。 次のような安全に見えるコードが標的です。

if (x < array1_size) {           // 境界チェック
    y = array2[array1[x] * 4096]; // x が範囲内のときだけ実行されるはず
}

攻撃者はまず正当な x（範囲内）で何度もこの分岐を通し、分岐予測器に「この if は成立する（taken）」と学習させます。次に範囲外の x を渡すと、array1_size の読み込みがメモリ待ちで遅延している隙に、CPU は予測に従い境界チェックを投機的に飛び越え、array1[x]（境界外）を読んで array2 経由でキャッシュに符号化します。チェックが「不成立」と確定すると投機は巻き戻りますが、痕跡は残る。コードは完全に正しいのに、CPU の予測が境界を踏み越えるのが V1 の怖さです。

Spectre V2：分岐ターゲットインジェクション（CVE-2017-5715）。 間接分岐（jmp [reg] のように飛び先が実行時に決まるもの）の予測先を攻撃者が汚染します。攻撃者は自プロセスで、被害者の間接分岐と同じ予測器エントリに当たるアドレスで分岐を繰り返し訓練し、予測先を任意の「ガジェット」（秘密をキャッシュに符号化するコード片）へ向けさせる。被害者がその間接分岐に達すると、汚染された予測により被害者のアドレス空間内のガジェットが投機実行され、秘密が漏れます。ROP に似ますが、実際にはリタイアしない投機実行内で完結する点が異なります。

緩和策とトレードオフ

Meltdown には KPTI（Kernel Page-Table Isolation）。 従来は性能のためカーネルとユーザーのページテーブルを共有し、システムコール時に切り替えを省いていました。KPTI はこれを分離し、ユーザーモード時はカーネルのマッピングを（ごく一部のトランポリンを除き）ページテーブルから外します。投機実行でカーネルアドレスを読もうとしてもマップ自体が無いため痕跡を作れません。代償は、システムコールや割り込みのたびにページテーブル切り替えと TLB フラッシュが増えること。syscall 主体の I/O 集約ワークロードでは数%〜場合により二桁%の低下が出ます。後継世代の Intel CPU はハードでこの読み取りを塞ぎ、KPTI 不要になりました。

Spectre V1 には個別の境界クランプ。 V1 は「正しいコードが予測で踏み越える」ため、一律のソフト緩和が効きにくい。対策は危険な分岐を個別に直すことです。境界チェック後のインデックスを投機時でも安全側に丸める（array1_index_mask でクランプする array_index_nospec 等）、あるいは投機を止めるシリアライズ命令 LFENCE を分岐直後に挿入します。LFENCE は以前の命令完了まで後続をブロックするので、闇雲に入れると性能を大きく削ります。

Spectre V2 には retpoline とマイクロコード。 retpoline は間接分岐を、予測器を使わない ret ベースの構造（call/ret で安全なループへ誘導）に置き換え、攻撃者が予測先を注入できなくするソフト技法です。加えて Intel/AMD はマイクロコード更新で IBRS / IBPB / STIBP（特権境界やスレッド間で分岐予測状態を分離・消去する制御）を提供し、後の世代は eIBRS としてハードに取り込みました。これらも分岐予測の自由度を削るため性能と引き換えです。

実務での教訓

第一に、これらは設計レビューやソースコード監査だけでは見えない層の脆弱性です。コードは正しく、権限チェックも存在する。漏れはコンパイル後・CPU の中で起きるため、対策はカーネル・コンパイラ・マイクロコード・ハードの全層に分散します。利用者にできる最大の防御は、OS とマイクロコードを最新に保つことに尽きます。

第二に、緩和はほぼ常に性能とのトレードオフです。KPTI、retpoline、SMT 無効化はいずれも速度を削る。脅威モデル次第では一部を緩める判断もあり得ますが、その判断は暗号の基礎同様、推測でなく計測（ベンチマークと攻撃成立可否の検証）に基づくべきです。

第三に、信頼境界をまたいで投機実行に秘密を触れさせない設計が王道です。ブラウザは異なるサイトを別プロセスに隔離（サイトアイソレーション）し、JIT は高分解能タイマーを鈍らせて Flush+Reload を妨害しました。新しい変種（MDS、L1TF、Retbleed、Downfall など）は今も登場するため、本番環境ではペネトレーションテストや CPU ベンダの勧告追跡を通じ、「自社の構成で何が成立し得るか」を継続的に見直すことが欠かせません。