UbuntuがGPUのSpectre緩和策を無効化—あなたへの影響と対応方法を解説します。システムの安全性とパフォーマンスに注意が必要です。

CanonicalがUbuntu 24.04 LTS（Noble Numbat）および今後の25.10リリースでIntelのGPU Compute RuntimeにおけるSpectre防御を無効化して出荷する決定を下したことが活発な議論を呼んでいます。OpenCLやLevel Zeroのワークロードで最大20％の性能向上は魅力的ですが、セキュリティ愛好家は警鐘を鳴らしています。本ガイドは専門用語を排しつつ技術的に深く掘り下げ、初心者からプロまで必要な情報をすべて提供します：背景、現実的なリスク評価、そしてシステムを確認し、必要に応じて再度保護するためのステップバイステップの手順です。

なぜまたSpectreが話題になっているのか？

2018年、SpectreとMeltdownは世界的な注目を集めました。これらは推測実行（speculative execution）や一時的実行（transient execution）に関する攻撃手法で、推測実行が誤った際の微細なタイミング差を利用し、隔離されているはずのメモリからパスワードや鍵、セッショントークンなどの秘密情報を漏洩させます。Meltdownは比較的早期にカーネルページテーブル分離（KPTI）で緩和されましたが、Spectreはヒドラのように頭を切り落としても別の亜種（V2、BHB/BHI、Straight-Line Spec、Retbleedなど）が次々と現れました。

防御策には代償が伴いました。ワークロードによってはCPU性能やI/Oスループットが目に見えて低下しました。Canonicalは今回、そのトレードオフを再検討しています。今回はCPUではなくGPUコンピュート側での話です。Launchpadのバグ＃2110131によると、グラフィックスの緩和策を無効化するとOpenCLの性能が最大20％向上し、Intelはかなり前からこれらの緩和策を無効化した独自バイナリを出荷しています。

CPU ≠ GPU—具体的に何が無効化されているのか？

多くのユーザーはSpectreをCPUにのみ関連付けていますが、2022年以降の論文では現代の統合グラフィックス（iGPU）にも推測実行に伴うサイドチャネルが存在することが示されています。Intelはこれに対応し、オープンなCompute Runtime（NEO）に防御策を追加し、CMakeのスイッチNEO_DISABLE_MITIGATIONSで制御可能にしました。

Canonicalは現在、そのスイッチをデフォルトでTRUEに設定しています。対象はlibigdrcl.so（OpenCL）とLevel Zeroのバックエンドのみで、カーネル側の保護（IBRS、IBPB、KPTIなど）はそのまま維持されています。これは古典的なトレードオフで、GPUのオーバーヘッドを減らす代わりに理論上攻撃面が広がることになります。Phoronixの検証では、特にAI推論、ビデオトランスコーディング（HandBrake QSV）、Blender Cyclesのレンダリングジョブで約20％の速度向上が確認されています。

この決定はどのようにしてなされたのか？

IntelとCanonicalは協調して取り組みました。両社のセキュリティチームはGPUの緩和策による性能低下に対して得られる利益が小さいと判断しました。

既知の実際の攻撃は存在しません。iGPUを明確に標的とした公開された概念実証もありません。初期のCPU側Spectre亜種とは異なり