Local blog for Japanese speaking developers
Chrome の Site Isolation で Spectre のリスクを軽減する
2018年8月30日木曜日
この記事は Charlie Reis, Site Isolator
による Google Online Security Blog の記事 "
Mitigating Spectre with Site Isolation in Chrome
" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
Spectre に代表される投機的実行のサイドチャネル攻撃は、ウェブブラウザにとって新たなセキュリティ上の脅威です。ウェブサイトでこのような攻撃を使えば、ブラウザが開いている他のサイトのデータやログイン情報を盗むことができます。この攻撃による影響を軽減するために、Windows、Mac、Linux、Chrome OS の Chrome 67 で
Site Isolation
と呼ばれるセキュリティ機能が有効化されたことをお知らせします。Site Isolation は、Chrome 63 より、試験運用版のエンタープライズ ポリシーとしてオプションで利用できるようになりました。しかしその後、多くの既知の問題が解消されたため、パソコンのすべての Chrome ユーザーに対してデフォルトで有効化されました。
今回のリリースは、Site Isolation プロジェクト全体における一段階です。今後は、Spectre 以外の攻撃(完全に侵害されたレンダラー プロセスからの攻撃など)を軽減する他のセキュリティ アップデートにも注目してください。
Spectre とは
1 月、Google の Project Zero は、一般に Spectre および Meltdown と呼ばれている一連の
投機的実行のサイドチャネル攻撃
について開示しました。さらに、5 月には
Spectre の亜種
も開示しています。これらの攻撃は、ほとんどの CPU に搭載されている投機的実行機能を使って、コードがアクセスしてはならないメモリにアクセスし、タイミング攻撃によってそのメモリに保管されている値を取り出すというものです。これは実質的に、信頼できないコードがプロセスのアドレス空間内の任意のメモリを読み出せる可能性があることを意味します。
これによって特に影響を受けるのがウェブブラウザです。ブラウザは、複数のウェブサイトの悪意のある JavaScript コードを実行する可能性があるからです。多くの場合、そういったコードは同じプロセス内で実行されます。理論上、ウェブサイトは、そのような攻撃を使って同一オリジンポリシー(Same Origin Policy)をくぐり抜け、他のサイトから情報を盗むことができます。すべての主要なブラウザは、タイマーの粒度を下げる、JavaScript コンパイラを変更して攻撃を成功しにくくするなど、既に Spectre に対する
いくつかの軽減策を導入
しています。しかし私たちは、
最も有効な軽減策
は Site Isolation のようなアプローチによるものだと考えています。つまり、たとえ Spectre 攻撃が起こったとしても、同じプロセス内に盗む価値のあるデータを持たないようにすることです。
Site Isolation とは
Site Isolation
は Chrome のアーキテクチャへの大きな変更で、各レンダラー プロセスの影響範囲を 1 つのサイトのドキュメントに制限します。その結果、Chrome はプロセス間の攻撃、すなわちサイト間の攻撃に対する保護をオペレーティング システムに任せることができるようになります。なお、Chrome における「サイト」の具体的な定義は、スキームと登録済みのドメインを含むものである点に注意してください。つまり、https://google.co.uk はサイトであり、https://maps.google.co.uk のようなサブドメインは同じプロセス内に存在します。
Chrome は常に、別のタブは別のレンダラー プロセスを使えるという
マルチプロセス アーキテクチャ
を採用しています。場合によっては、あるタブの中で新しいサイトに移動すると、プロセスが切り替わることもあります。ただしそれでも、攻撃者のページが被害者のページとプロセスを共有できる可能性は残ります。たとえば、ページでクロスサイト iframe やクロスサイト ポップアップが生成される場合、通常、それらは同じプロセス内にとどまります。その場合、Spectre 攻撃を使ってプロセス内の別のフレームやポップアップのデータ(Cookie、パスワードなど)を読み取ることができます。
Site Isolation を有効化すると、各レンダラー プロセスには最大でも 1 つのサイトのドキュメントしか含まれなくなります。つまり、サイトが異なるドキュメントに移動すると、必ずそのタブでプロセスが切り替わることになります。さらに、すべてのクロスサイト iframe は、「
プロセス外 iframe
」を使って親フレームとは別のプロセスで処理されることになります。1 つのページを複数のプロセスに分割することで、Chrome の動作は大幅に変更されます。そのため、Chrome セキュリティ チームは、Spectre とは別に、
この点を数年にわたって追求してきました
。プロセス外 iframe は、
Chrome 拡張機能のセキュリティ モデルを改善する
ために、昨年初めて利用されました。
1 つのページが、プロセス外 iframe を使う複数のレンダラー プロセスに分割される可能性もあります。
各レンダラー プロセスが 1 つのサイトのドキュメントに制限されている場合でも、攻撃者のページがイメージやスクリプトなどのサブリソースとしてクロスサイト URL をリクエストし、そこから情報にアクセスして、漏洩させるリスクはまだ残されています。通常、ウェブブラウザは、ページに任意のサイトのイメージやスクリプトを埋め込むことを許可しています。しかし、ページがイメージやスクリプトをリクエストするように見せかけて、機密データを含む HTML や JSON の URL をリクエストすることも考えられます。通常、このレンダリングは失敗し、データがページに表示されることはありませんが、そのデータはレンダラー プロセスの中にあるので、Spectre 攻撃によるアクセスが考えられる状態になっています。Site Isolation には、このリスクを軽減する
Cross-Origin Read Blocking
(CORB)という機能が含まれています。現在、これは
Fetch 仕様
の一部になっています。CORB は、互換性にはほとんど影響を与えることなく、レンダラー プロセスからのクロスサイトの HTML、XML、JSON レスポンスを透過的にブロックしようとします。ウェブ デベロッパーは、Site Isolation と CORB を活用して最大限の保護を行うために、
正しい MIME タイプと nosniff レスポンス ヘッダーをつけてリソースを提供していることを確認する必要があります
。
Site Isolation は、Chrome の内部動作にとっては重大な変更ですが、ほとんどのユーザーやウェブ デベロッパーにとっては、目に見える変化は起こりません(いくつかの
既知の問題
は除きます)。ウェブサイト間の内部的な保護が強化されるだけです。ただし、Site Isolation によって、Chrome が作成するレンダラー プロセスの数は多くなるので、パフォーマンスとのトレードオフが発生します。プラスの面は、それぞれのレンダラー プロセスが小さく短命になり、内部的な衝突も少なくなります。しかし、実際のワークロードでは、プロセス数が増加する影響で、合計約 10~13% のメモリのオーバーヘッドが発生します。私たちのチームは、Chrome の速さと安全性を保つため、懸命にこの動作の最適化を続けています。
Site Isolation のメリット
Chrome 67 では、Windows、Mac、Linux、Chrome OS の 99% のユーザーで Site Isolation が有効になっています。(変更範囲の大きさを考慮し、パフォーマンスの監視と改善のために、1% は保留しています。)つまり、たとえ悪意のあるウェブページで Spectre 攻撃が行われたとしても、通常は他のウェブサイトのデータが同じプロセスに読み込まれていないので、攻撃者が悪用できるデータはかなり少なくなります。これにより、Spectre の脅威を大幅に軽減できます。
それを受けて、PC 向けに正確なタイマーや SharedArrayBuffer(正確なタイマーとして使用可能)などの機能を再び有効化することを検討しています。
現在進行中のその他の作業
現在私たちは、他の既知の問題が残されている Chrome for Android に Site Isolation を拡張する方法について検討しています。Site Isolation を有効化させる試験運用版エンタープライズ ポリシーは、Android 向けの Chrome 68 で利用できるようになり、chrome://flags/#enable-site-per-process から手動で有効化できるようになる見込みです。
現在私たちは、ブラウザのプロセスでさらに別のセキュリティ チェックを行い、Spectre 攻撃だけでなく、完全に侵害されたレンダラー プロセスからの攻撃も軽減できるように Site Isolation を強化する作業も行っています。このような機能強化によって、Chrome が実質的にレンダラー プロセス全体を信頼できないものとして扱うようにするという Site Isolation の
当初の目的
を実現できます。これらの機能強化についての最新情報にご期待ください!最後になりますが、他の主要なブラウザ ベンダーは、Site Isolation の度合いを上げることによって、Spectre に対する保護を行う関連手法を探っています。私たちは、各ベンダーと協力しており、ウェブ エコシステム全体の進展をうれしく思っています。
Site Isolation
の改善にご協力を!
Chrome Vulnerability Reward Program
からセキュリティ バグを送信してくださった研究者の皆さんに、報奨金を提供しています。Site Isolation に影響するセキュリティ バグには、期限付きで情報開示バグの通常額の最大 2 倍という高レベルの報奨金が提供される場合があります。詳細については、
Chrome New Feature Special Rewards
をご覧ください。
Reviewed by
Eiji Kitamura - Developer Relations Team
コメントを投稿
ラベル
.app
1
#DevFest16
1
#DevFest17
1
#DevFest18
1
#hack4jp
3
A/B Testing
1
A4A
4
Actions on Google
13
Addy Osmani
1
ADK
2
AdMob
31
Ads
15
Ads API
6
AdWords API
9
Agency
1
AIY
3
AIY Vision Kit
2
ALPN
1
AMP
69
AMP Cache
5
AMP for Email
1
AMP Story
2
amp-bind
1
AMPHTML Ads
1
Analytics
9
Andorid
10
Android
295
Android Auto
1
Android Design Support Library
1
Android Developer Story
4
Android Developers
4
Android Go
1
Android Jetpack
1
Android N
18
Android O
12
Android P
7
Android Pay
1
Android Security Year in Review
1
Android Studio
30
Android Support Library
5
Android Things
14
Android TV
10
Android Vitals
3
Android Wear
29
androidmarket
3
AndroidX
2
Angular
2
Angular 2
2
AngularJS
2
API
24
APIExpert
45
apk
2
app
1
App Action
1
app engine
23
App Indexing
7
App Invites
6
App Maker
2
AppCompat
2
Apps Script
11
aprilfool
4
AR
2
Architecture Components
4
ARCore
1
ArtTech
1
Associate Android Developer Certificate
1
Audio
6
Auth Code
1
Authentication
8
AuthSub
2
Autotrack
2
Awareness API
1
Beacons
6
BigQuery
9
Billing
1
BLE
4
Blink
1
Blockly
1
blogger
1
Brillo
1
Brotli
2
Budou
1
Calendar
3
Cardboard
4
Career
1
Case Study
1
Certificate
2
chrome
102
Chrome Custom Tab
1
Chrome Dev Summit
2
chrome extension
6
Chrome for Android
2
Chrome for iOS
2
Chrome OS
2
Chrome Tech Talk Night
1
Chromebook
3
Chromecast
7
chromewebstore
6
Chromium
5
CLI
1
ClientLogin
3
Closure Compiler
1
Cloud
18
Cloud Firestore
3
Cloud Functions
9
Cloud Next
3
Cloud OnBoard
2
Cloud PubSub
1
Cloud Storage
1
Cloud Study Jams
1
Cloud Test Lab
2
CocoaPods
1
codejam
5
codelab
3
Community
1
compute engine
3
Context
1
Crash Reporting
2
Crashlytics
1
Dart
2
DataCenter
1
Daydream
4
Deep Learning
2
Demo Party
1
Design Sprint
3
DesignBytes
1
DevArt
3
DevBytes
6
Developer
14
Developer Console
4
Developer Preview
6
Developer Relations
2
DevFest
7
DevFestX
3
DevOps
1
devtools
4
Dialogflow
1
DirectShare
1
Domain
1
Doodle
1
DoubleClick
4
Doze モード
1
drive
2
Dynamic Links
3
EarlGrey
1
Easter Egg
1
ECMAScript 2015
1
Eddystone
4
egypt
1
English
2
ES2015
1
ES2016
1
ES6
2
ES7
1
Featured
2
Firebase
101
Firebase Admin SDK
6
Firebase Analytics
9
Firebase Auth
4
Firebase Cloud Messaging
9
Firebase Crashlytics
2
Firebase Database
5
Firebase Libraries
1
Firebase Notifications
1
Firebase Performance
2
Firebase Remote Config
5
Flash
1
Flutter
2
font
3
fraud
1
G Suite
18
game
22
Game Developers Conference 2018
1
Gboard
1
GCP
2
GDD11JP
56
GDD2010JP
23
GDE
2
GDG
15
GDG Cloud
1
Geo
47
Gingerbread
1
GLIDE
5
Gmail
4
Gmail API
2
Go
1
golang
5
goo.gl
1
Google
5
Google Analytics
2
Google API
1
Google Apps
14
Google Apps Script
4
Google Assistant
7
Google Assistant SDK
1
Google Cast
8
Google Cloud
7
Google Cloud INSIDE Games & Apps
5
Google Cloud Messaging
11
Google Cloud Platform
10
Google Code-in
1
Google Developer Experts
2
Google Developers Academy
1
Google Developers live
5
Google Developers Summit
1
Google Drive
6
Google Fit
2
Google for Mobile
2
Google for Work
1
Google I/O
10
Google Impact Challenge
1
Google Maps
53
Google Maps Platform
1
Google Pay
1
Google Play
66
Google Play Console
4
Google Play Game Services
9
Google Play Instant
1
Google Play Services
22
Google Plus
14
Google Search
6
Google Sheets API
3
Google Sign-In
12
Google Slides API
5
Google Summer of Code
1
Google Tag Manager
1
Google Trust Services
1
Google マップ
1
Google+
2
Googleapps
10
GoogleGames
1
GoogleI/O
28
GoogleLabs
1
GooglePlay
1
GoogleTV
1
Gradle
1
gRPC
2
GTUG
5
GWT
2
hack4jp
2
hackathon
7
Hangouts Chat
2
Hosting
3
HTML5
17
HTML5Rocks
1
HTTP/2
5
HTTPS
11
ID Token
1
Identity
14
Identity Toolkit
1
Ignite
4
IME
11
Indie Games Festival 2018
2
Inevitable ja Night
14
Instant Apps
5
intern
2
Invites
1
iOS
20
IoT
5
IPv6
1
Issue Tracker
2
Japanese Input
1
JavaScript
7
Jetpack
1
K-12
1
Key Transparency
1
Knowledge Graph
1
Kotlin
3
l10n
8
LaunchPad
1
Lighthouse
1
LINE
1
Lollipop
10
Machine Learning
10
Marshmallow
10
Material
1
Material Design
26
MDL
1
MDN
1
MIDI
2
ML Kit
2
Mobile
12
Mobile Bootcamp
4
Mobile Sites certification
1
Mobile Vision
3
mod_pagespeed
1
monetize
3
Mozc
15
Music
1
NativeDriver
2
NativeScript
1
ndk
3
Nearby
5
Nexus
2
Nexus S
1
NFC
1
Node.js
3
Noto CJK
1
NPAPI
2
NPN
1
oauth
11
OpenGL
4
OpenID
3
OpenID Connect
4
OpenSocial
1
opensource
17
Optimization
1
Payment
4
People API
2
Performance
11
PersonFinder
1
Physical Web
3
Place Picker
1
Play Billing Library
1
Player Analytics
4
Playtime 2017
1
Policy
3
Polymer
7
Progressive Web Apps
13
project hosting
1
Promise
1
Promo code
1
Protocol Buffers
1
PRPL
1
publicdata
1
Push API
1
Push Notification
3
PWA
2
Python
2
QUIC
1
QWIKLABS
1
RAIL
1
React
1
React Native
2
Realtime Database
9
reCaptcha
1
Redux
1
Remote Config
3
Remote Display API
1
Resonance Audio
1
Rewarded Video Ads
2
Runtime Permission
1
Safe Browsing
1
Sample Code
2
Santa Tracker
1
schema.org
1
secur
1
security
43
Service Worker
4
SHA-1
1
sketchup
1
SmartLock for Passwords
4
social
4
Social Good
1
SPDY
3
speak2tweet
1
Spreadsheet
3
startup
5
Storage
2
story
1
streetview
3
Study Jams
3
Swift
2
SwiftShader
1
Symantec
1
Task
4
Team Drive
1
techtalk
12
TensorFlow
11
TensorFlow Lite
2
TensorFlow Object Detection API
1
test
4
Test Lab
6
ToS
1
Transliteration
1
Twitter
1
Udacity
20
Unity
3
UX
3
V8
2
VP9
1
VR
11
Vulkan
2
Watch Face
2
wave
2
Wear OS
2
Weave
1
Web
15
Web Animations
1
Web Components
6
Web Manifest
1
Web Packaging
2
WebAssembly
3
WebGL
1
WebMusic
5
WebView
1
WTM
3
Xcode
1
YouTube
16
YouTube API
1
インタビュー
1
コードサンプル
1
プライバシー
1
言論の自由
1
節電
3
東日本大震災
9
日本語入力
41
ブログ アーカイブ
2019
1
2018
12
11
10
9
8
7
6
5
4
3
2
1
2017
12
11
10
9
8
7
6
5
4
3
2
1
2016
12
11
10
9
8
7
6
5
4
3
2
1
2015
12
11
10
9
8
7
6
5
4
3
2
2014
12
11
10
9
8
7
6
5
4
3
2
1
2013
12
11
10
9
8
7
6
5
4
3
2
1
2012
12
11
10
9
8
7
6
5
4
3
2
1
2011
12
11
10
9
8
7
6
5
4
3
2
1
2010
12
11
Feed
Google
on
Follow @googledevjp
"プロダクトに関するご意見は
プロダクトフォーラム
にお願いします"
