「スピードの必要性」は現在、多くのMacユーザーに悪影響を与えています。
過去に使用されていたIntelプロセッサーよりも安定した高速なパフォーマンスを実現できるように設計されているApple Mシリーズチップには脆弱性があるため、攻撃者は暗号鍵を公開することで、暗号化されたデータを暴露できます。GoFetchとして知られるこの重大なセキュリティー上の欠陥は、M-チップのデータ・メモリー依存プリフェッチャー（DMP）の脆弱性を悪用したものです。
DMPは、キャッシュをスキャンし、その情報をプリフェッチすることで、コードがアクセスする可能性が最も高いメモリ・アドレスを予測します。このテクノロジーにより、Appleユーザーはコンピューターの速度と全体的な性能を向上させることができます。この直感的なコンピューティングは、Apple製品を使用して効率性と生産性を向上させるメリットの1つです。
しかし、DMPのGoFetch脆弱性により、その利点が深刻な欠点に変わりました。Ars Technicaによると、GoFetchはサイドチャネルの欠陥であり、「攻撃者がMacが広く使われている暗号オペレーションを行う際に秘密鍵を抽出することを可能にする」とされています。簡単に言うと、Mチップに保存されているデータは正当なメモリ・アドレスと誤ってキャッシュされる可能性があります。しかし、悪意のあるアプリが脆弱性を通じてアクセスを獲得すると、このエラーを繰り返しプッシュし、最終的にキーを復号化する可能性があります。研究者グループは、この脆弱性が実際には「コンスタント・タイム・コーディングのパラダイムに深刻なリスクをもたらす」ことを発見しました。
重要なのは、GoFetchの脆弱性はMシリーズチップのコア設計に起因しているため、Appleが単純な修正プログラムでこの弱点を修正することはできません。代わりに、緩和策には、サード・パーティーの暗号化ソフトウェアに保護コードを追加することが必要となります。これにより、特に古いM1およびM2 Macモデルでは性能が大幅に低下する可能性があります。
GoFetchの脆弱性は、開発者、IT、セキュリティーの各チームにとって長年の課題、つまりセキュリティーと性能のバランスを取る問題を浮き彫りにしています。この場合、GoFetchに関する脆弱性管理がMacコンピューターの性能に悪影響を与えることになります（iPadなど、他のAppleデバイスにはまだ影響を受けていないようです）。チップ・メーカーにとって、速度はセールス・ポイントの1つです。コンピューターの速度は生産性にとって不可欠です。しかし、それはセキュリティーが後回しになっているということでもあります。
パフォーマンスを優先してセキュリティーを犠牲にすることにより、ユーザーは暗号化キーに対する攻撃にさらされ、機密データが侵害される可能性があります。
チップ開発のセキュリティを修正するには、メーカーがチップ開発に関する詳細を共有する必要がありますが、脆弱性管理をより早期に実施できることにもなります。長期的には、パフォーマンスが向上します。
GoFetchはハードウェアの欠陥であるため、簡単な修正はありません。SaaSのように、開発者はソフトウェア・コードを単に更新してユーザーに送信することはできません。
Appleは、M-3チップデバイスを持つユーザーがデータ独立タイミング（DIT）を有効にした場合、DMPを無効にし、セキュリティを追加することができると述べています：「DITを有効にすると、プロセッサは、インプットデータに関係なく、命令を完了するために、より長い、最悪のケースの時間を使用します。
しかし、それではM1やM2デバイスを使用している組織には有効な方法ではなく、研究者らはM3デバイスにとってはDMPを無効にすることが劇的な動きであることを認めています。彼らは、次のような他の防御アプローチを提案しています。
この記事を書いている時点では、GoFetchの脆弱性に関する大規模なサイバー攻撃の報告はありませんが、それは時間の問題にすぎません。Macデバイスを使用する組織やユーザーは、防御を強化し、潜在的なリスクを認識すべきです。というのも、研究者たちはこう結論づけているからです。「DMPは現代のソフトウェアに対して重大なセキュリティ脅威をもたらし、最先端の暗号実装を多方面に破壊する」