もはや「OSの自動更新」だけでは守れない? 「Meltdown」と「Spectre」のベストな対策は:半径300メートルのIT(2/2 ページ)
新年早々、世間を騒がせている脆弱性、「Meltdown」と「Spectre」。この対応策、ちょっと一筋縄ではいかないようで……。
「Meltdown」と「Spectre」のベストな対応策は
こうした事情から、「Meltdown」と「Spectre」の脆弱性対策については、引き続き状況を注視し、都度、必要な対応がないかを確認し続ける必要があります。
今回の脆弱性に関しては、スパッと明快な解決策を提示しにくく、個人的にも頭を抱えています。おそらく、CPUのような深い場所に対する「修正手法」と、そのような場所に対する「攻撃手法」が紙一重であるため、修正がとても難しい――という事情があるのでしょう。
具体的な対策としては、まず、各マルウェア対策ソフトベンダーの指示を待ち、対応アップデートが提供され次第、速やかに適用することです。そうすればWindows Updateも自動で適用されるはず。手動でレジストリをいじる必要はないでしょう(ただし、“次世代マルウェア対策ソフト”などを含め、複数のマルウェア対策ソフトを同時に使っている企業は注意が必要かもしれません)。
ここ最近、このような「致命的に見える脆弱性」が増えてきたように思います。今回の脆弱性も、確かに大きな問題ではありますが、本稿執筆時点では攻撃コードがインターネット上にはびこっているわけでもないので、個人的には「慌てず騒がず静観する」という対応でもいいと思うのです。
ただ、クラウドサービスなどでは影響を無視できないので、関連サービスが提供する情報を確認することをおすすめします。
- Processor Speculative Execution Research Disclosure
- Securing Azure customers from CPU vulnerability | ブログ | Microsoft Azure
- Product Status - Google ヘルプ
- 【重要】MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について|さくらインターネット
いつもなら脆弱性対策として、「OSを最新のものにアップデートすれば大丈夫です」とお話ししていますが、今回のケースは、“簡単なアップデートだけでは難しい問題が出てきてしまった”という印象です。
できれば「脆弱性が発見されたとしても、通常のセキュリティアップデートが自動で更新され続け、特に意識しなくてもその時点で最善の安全が手に入る」という状態が望ましいのですが、そうなるまでは利用者が冷静に学び、理想に足りない部分を人が補うことで対応するしかないようです。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
関連記事
- 「半径300メートルのIT」記事一覧
- プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
Intelが「他社のプロセッサも影響する」と発表したプロセッサの重大な脆弱性「Meltdown」と「Spectre」についての情報がまとまったWebサイトを、これらの脆弱性を発見したグラーツ工科大学が開設した。 - 「こんなの怪しくてすぐ見破れるwww」 最近のフィッシング詐欺はそんな人が引っ掛かる
ここまで手の込んだフィッシングメールが出てくると、「自分もだまされるかもしれない」と思っているくらいがちょうどいいのかもしれません。 - WannaCryに感染! その時、絶対にやってはいけないこと
感染したときに「絶対やってはいけないこと」とは……。 - Apple、プロセッサ脆弱性「Meltdown」と「Spectre」の対策について説明
Appleが、1月3日に発表されたプロセッサの脆弱性「Meltdown」と「Spectre」の対策について説明した。MeltdownについてはMac、iPhone、iPad、Apple TVでの「緩和策」をリリース済みで、Spectreについても近く緩和策をリリースする計画だ。 - 「アンチウイルスソフトは死んだ」発言の真意は
「Firefox」の開発者が発した、「Windows 10ではPC向けのアンチウイルスソフトを買ってインストールするのは不要で、マイクロソフトが提供する無料のアンチウイルスサービスだけでいい」という言葉、果たして真実なのでしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.