世間を騒がす「プロセッサ脆弱性」 何が本当の問題なのか(3/3 ページ)
2018年の年明け早々、新たに発見されたプロセッサの脆弱性「Meltdown」「Spectre」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。この問題の概要、影響や対策についてまとめた。
最も大きな問題になると予想されるのは?
「CPUのようなハードウェアは完璧な製品」と考えている人は多いかもしれないが、実際にはそんなことはなく、OSなどのソフトウェア製品などと同様、発売後に何らかの問題が発見されることはある。
重要なのは、それを可能な限り早く発見し、適切なタイミングで対策していくことだ。特に、今回のようにソフトウェアで対策が可能なものであればなおさらだ。
その意味で、昨今のOSやアプリケーションはゼロデイ攻撃の増加もあり、定期的なアップデートを適用する仕組みが構築されつつあり、きちんと運用されているシステムであれば、ユーザーの利用に影響をほとんど及ぼさない。
現時点ではまだアップデートの提供が開始されたばかりのタイミングで測りかねる部分もあるが、影響範囲の広さを考えても、過去数年間の取り組みの成果をあらためて振り返るきっかけとなるだろう。
問題となるのは、こうした定期アップデートのサイクルの外にあり、きちんとメンテナンスが行われていないシステムの存在だ。
例えば、きちんとクライアント管理が行われているPCや、クラウド上に存在して強制リブートが可能なAzureやAWSのようなシステムでは(作業自体の影響はあるが脆弱性の対策としては)問題ない。
しかし、オンプレミスで運用されているサーバや、身近な例ではアップデートの提供が遅れがちな通信キャリア販売のAndroidスマートフォンではセキュリティ上のリスクが高まると言える。すぐに今回の問題を悪用した攻撃が一般化するとは限らないが、重要な情報が日々大量にやりとりされるサーバや、個人情報が保存される可能性の高いスマートフォンにおける脆弱性は、金銭的な喪失に直結する問題だ。
そして今回、より大きな問題になると予想されているのが組み込み機器での対応だ。小売店でのPOS、ATM装置、KIOSK端末など、昨今のモダンなプロセッサを搭載した組み込み機器は多数存在し、これらは今回の脆弱性で問題となる個人情報やカード情報などを扱う可能性が高い。しかも、組み込み向け製品のライフサイクルはハードウェアとソフトウェアともに長く、10年を超えるケースも珍しくない。
今回のように過去10~20年をさかのぼって問題が報告されるようなケースで、どこまでベンダーが対応できるのかというのは、ユーザーとベンダーにとっての今後の大きな試金石となる。
仮に、古いハードウェア製品を使い続けるユーザーがいたとして、対応のソフトウェアやシステムを販売したベンダーに今回の対策アップデートを提供することは可能だろうか。明確にサポート期間が設定されているWindowsはともかく、LinuxやAndroidなど、特定のディストリビューションによらずにカスタマイズされるOSのサポートは、それを提供したベンダーの対応に依存する。
近年、Android POSの導入機運が高まっており、アジアでは中国を中心に、欧州圏などにも波及しつつあるが、ソフトウェア側のサポートはPOSを販売するベンダーが行うことになる。今回のような問題が今後も起こる可能性を考えれば、既に利用から何年も経過したシステムのサポートはベンダーの本気度が試されると考えていい。
直近での一般ユーザーへの影響こそ少ないものの、今回の問題の根深い部分はここにある。ベンダーからみて既に「時代遅れ(Obsolete)」なシステムをどこまでサポートするのか、これら古いシステムを使い続けるユーザーの意識はどう変わるのか、「サポート期間の長いシステム」を巡る議論はむしろこれから本格化するだろう。
関連記事
Apple、プロセッサ脆弱性「Meltdown」と「Spectre」の対策について説明
Appleが、1月3日に発表されたプロセッサの脆弱性「Meltdown」と「Spectre」の対策について説明した。MeltdownについてはMac、iPhone、iPad、Apple TVでの「緩和策」をリリース済みで、Spectreについても近く緩和策をリリースする計画だ。Intel、プロセッサ脆弱性対策で「来週末までに過去5年に製造したプロセッサの9割に更新実行」
プロセッサの脆弱性「Meltdown」と「Spectre」について、Intelが過去5年以内に製造した大部分のプロセッサの90%に対し、来週末までに更新プログラムの発行作業を完了すると説明した。マカフィー、2017年の10大セキュリティ事件ランキングを発表
マカフィーは、日本国内のビジネスパーソンを対象とした「2017年のセキュリティ事件に関する意識調査」の調査結果を発表した。スマートスピーカーやネット家電も攻撃対象に? 2017年版「最もハッキングされやすいギフト」 McAfee調べ
マカフィーは、ホリデーシーズンの人気商品に潜むセキュリティリスクを特定する「最もハッキングされやすいギフト」の調査結果を発表した。「逆ハッキング」は是か非か? マカフィーが考察
マカフィーは、米国で5月に法案として提出された「逆ハッキング」についての考察をブログに掲載した。WannaCryをきっかけにWindows 7から10への移行が加速する?
世界的に猛威を振るったランサムウェアのWannaCryに感染したPCは、ほとんどがWindows 7搭載機だった。結果として、セキュリティが強化されたWindows 10の注目度は高まりつつあるようだ。
Copyright © ITmedia, Inc. All Rights Reserved.