世間を騒がす「プロセッサ脆弱性」　何が本当の問題なのか（3/3 ページ）

最も大きな問題になると予想されるのは？

　「CPUのようなハードウェアは完璧な製品」と考えている人は多いかもしれないが、実際にはそんなことはなく、OSなどのソフトウェア製品などと同様、発売後に何らかの問題が発見されることはある。

　重要なのは、それを可能な限り早く発見し、適切なタイミングで対策していくことだ。特に、今回のようにソフトウェアで対策が可能なものであればなおさらだ。

　その意味で、昨今のOSやアプリケーションはゼロデイ攻撃の増加もあり、定期的なアップデートを適用する仕組みが構築されつつあり、きちんと運用されているシステムであれば、ユーザーの利用に影響をほとんど及ぼさない。

　現時点ではまだアップデートの提供が開始されたばかりのタイミングで測りかねる部分もあるが、影響範囲の広さを考えても、過去数年間の取り組みの成果をあらためて振り返るきっかけとなるだろう。

　問題となるのは、こうした定期アップデートのサイクルの外にあり、きちんとメンテナンスが行われていないシステムの存在だ。

　例えば、きちんとクライアント管理が行われているPCや、クラウド上に存在して強制リブートが可能なAzureやAWSのようなシステムでは（作業自体の影響はあるが脆弱性の対策としては）問題ない。

　しかし、オンプレミスで運用されているサーバや、身近な例ではアップデートの提供が遅れがちな通信キャリア販売のAndroidスマートフォンではセキュリティ上のリスクが高まると言える。すぐに今回の問題を悪用した攻撃が一般化するとは限らないが、重要な情報が日々大量にやりとりされるサーバや、個人情報が保存される可能性の高いスマートフォンにおける脆弱性は、金銭的な喪失に直結する問題だ。

　そして今回、より大きな問題になると予想されているのが組み込み機器での対応だ。小売店でのPOS、ATM装置、KIOSK端末など、昨今のモダンなプロセッサを搭載した組み込み機器は多数存在し、これらは今回の脆弱性で問題となる個人情報やカード情報などを扱う可能性が高い。しかも、組み込み向け製品のライフサイクルはハードウェアとソフトウェアともに長く、10年を超えるケースも珍しくない。

　今回のように過去10～20年をさかのぼって問題が報告されるようなケースで、どこまでベンダーが対応できるのかというのは、ユーザーとベンダーにとっての今後の大きな試金石となる。

　仮に、古いハードウェア製品を使い続けるユーザーがいたとして、対応のソフトウェアやシステムを販売したベンダーに今回の対策アップデートを提供することは可能だろうか。明確にサポート期間が設定されているWindowsはともかく、LinuxやAndroidなど、特定のディストリビューションによらずにカスタマイズされるOSのサポートは、それを提供したベンダーの対応に依存する。

　近年、Android POSの導入機運が高まっており、アジアでは中国を中心に、欧州圏などにも波及しつつあるが、ソフトウェア側のサポートはPOSを販売するベンダーが行うことになる。今回のような問題が今後も起こる可能性を考えれば、既に利用から何年も経過したシステムのサポートはベンダーの本気度が試されると考えていい。

　直近での一般ユーザーへの影響こそ少ないものの、今回の問題の根深い部分はここにある。ベンダーからみて既に「時代遅れ（Obsolete）」なシステムをどこまでサポートするのか、これら古いシステムを使い続けるユーザーの意識はどう変わるのか、「サポート期間の長いシステム」を巡る議論はむしろこれから本格化するだろう。