「Spectre」「Meltdown」問題――今、情シスは何をすべきか？：Enterprise IT Kaleidoscope（1/4 ページ）

年初に公表された「Spectre」と「Meltdown」により、IT業界全体が振り回されている。対策も二転三転する状況が続いているが、情シスはどのようにこの問題に向き合えばいいのだろうか。

[山本雅史，ITmedia]

　2018年1月2日に英国のメディア「The Register」の記事が公表した、「Spectre」と「Meltdown」というプロセッサの脆弱性により、今、IT業界はドタバタしている。

　SpectreとMeltdownの脆弱性の詳細に関しては、さまざまな記事が出ているが、基本的には、プロセッサのアーキテクチャに絡む脆弱性であり、IntelやAMD、ARMなどのプロセッサが対象になる。このため、脆弱性の影響はサーバ、PC、スマートフォン、組み込み機器など、広範囲にわたるのだ。

　この問題を解決するには、BIOSなどのファームウェア、OSやハイパーバイザー、アプリケーションなど、全ての部分で対処を行う必要があるが、現状（1月25日現在）では、SpectreやMeltdownの脆弱性を使った攻撃は報告されていない。幾つかの情報を踏まえれば、これらの脆弱性を使ったウイルスなどを開発するのは、高度なプログラミング技術が必要になるようだ。

　しかし、脆弱性が世間に公開されれば、その脆弱性を利用した攻撃手法は遠からず出てくる。それが今日、明日の話か、数カ月後かというだけだ。攻撃が起これば、どんどんと亜種が作られるため、根本的にSpectreやMeltdownへの対策を行っておかなければ、大きなトラブルに見舞われるだろう。

MeltdownとSpectreに関する情報サイト（https://meltdownattack.com/）もある。可愛らしい（？）ロゴが付けられたこともあり、大きなニュースになったのかもしれない

Windows OSにおけるSpectreやMeltdownの対応策は？

　SpectreやMeltdownの問題自体は、2017年末に発見されており、プロセッサベンダーやOSベンダーに知らされていた。そのため、Microsoftは1月のセキュリティ更新プログラムを数日前倒しにして、対策を講じたアップデートを配布している。

　このアップデートは、Winodws 7（SP1）／8.1／10（RTM、1511、1607、1703、1709）などのクライアントOSが対象だ（サポートが終了したWindows XPやVistaは対象外）。Spectreおよび、Meltdownへの対策として、Windows OSのモジュールをコンパイルし直したり、JavaScriptを使ってSpectreの脆弱性を利用できないようにしたり、EdgeやIE11を機能強化したほか、OSのカーネル部分も変更している。