インテル製CPUの脆弱性問題、大きな声では語られないIT業界が抱え込んだ不都合な現実
Intel製CPUに重大な脆弱性が見つかり、それへの対応が困難であることが明らかになる中、これらの問題を突いたマルウェアが見つかり始め、大きな事件が起きるのではないかと危機感が高まってきています。
新年早々に発覚したCPUの設計そのものに起因する脆弱性「Spectre」「Meltdown」の問題ですが、起因する問題の性質もあってか、なかなか完全な解消の目処が立っておりません。とくにIntel製チップ向けに公開された対策パッチに至っては致命的とも言えるようなバグが含まれており、いち早くセキュリティ対策にと同パッチを導入したマシンで障害を引き起こすという事態まで起きてしまいました。
インテルのCPU脆弱性対策パッチによる再起動の問題、新世代チップでも(ZDNet Japan 18/1/19)
Microsoftではこうした事態に対応すべく、問題となっているIntelの対策パッチを無効化するための緊急アップデートまで出すという展開になりました。
マイクロソフト、緊急アップデートを公開インテルパッチ無効化(ロイター 18/1/30)
インテルが自社の半導体の脆弱性対策として配布したパッチ(修正ソフト)にバグが生じている問題で、米マイクロソフトは29日、同パッチを無効化する緊急アップデートを公開した。ロイターとんだ混乱ぶりですがそれだけ事態が深刻であることを反映しているようにも見えます。さらに悪い報せとしては、このCPUの脆弱性を狙ったマルウェア開発がやはり進んでいる気配のあることです。
「Meltdown」「Spectre」を狙うマルウェアサンプル、大量に発見(ZDNet Japan 18/2/5)
AV-TESTの最高経営責任者(CEO)Andreas Marx氏は米ZDNetの取材に対して、139個の各サンプルは3種類の攻撃のうち1つのみを使用していると語った。しかし、ファイルには「問題のあるプログラムコード」が含まれているため、すべてが脆弱性の悪用に成功しているかどうかは確認できていないという。ZDNet Japan確かに、これだけ普遍的に問題を知られ、対応がむつかしい本件をマルウェア界隈が黙って見逃すはずもなく、遠からず具体的な事件を起こす可能性が高くなっています。
朗報としては、この脆弱性を効果的に攻撃できるような方法はいまだ発見されていないらしいということです。「おそらくサイバー犯罪者らは、ランサムウェアや仮想通貨マイニングプログラムを作るツールを使う方が簡単で利益も得やすいと判断しているのだろう」と考察されていますが、どのくらい時間が稼げるのかは未知数です。遅かれ早かれ攻撃力の高いマルウェアが登場してくる可能性は否定できないと考えておくべきなのでしょう。
さて、早期に提供された対策パッチにバグがあったりということでなんとも厄介な状況にあるSpectre/Meltdown問題ですが、根本的な解決を求めると以下のような論考になるようです。
根本的解決はCPUの世代交代か、脆弱性問題(EE Times Japan 18/1/22)
1月18日時点で主要なベンダーのほとんどは今回の脆弱性への対策を用意できている。一部、対策が遅れている製品や更新プログラムの不具合に追われているベンダーもあるが、1月中には作業を終える見通しだ。ただ、現在の対策は、対症療法なもので、一部の用途、特にデータの入出力を多用する場合に最大25%のベンチマークテストスコアの低下が確認されている。根本的な解決には、現在開発中の次世代CPUへの移行が必要とCPUベンダーは案内している。EE Times Japanなるほど、やはり設計自体に問題がある現行CPUはいずれにしろ完全な対応はむつかしいということなんですね。当たり前と言えば当たり前のことなのですが。すでにそうした設計の変更を発表しているメーカーもありますが、そうした製品が市場に出てくるのは来年以降の話となりそうです。
AMD、「Spectre」対策で次世代チップ「Zen 2」の設計を変更(ZDNet Japan 18/2/1)
「より長期的には、Spectreのような脆弱性攻撃への対策を強化するため、今後のプロセッサコアの設計を変更した。これはZen 2以降のモデルに適用される」と同氏は続けた。Zen 2は、7ナノメートル(nm)技術に基づいた次世代のAMD X86プロセッサで、2019年の登場が予定されている。ZDNet Japanということは、新しい設計を採用したCPUが市場に流通するまでの間に販売される製品については、PCにしろスマホにしろその他のスマートデバイスの類にしろ現状の設計に基づくCPUを採用した機器類はいずれも賞味期間がかなり短くなってしまう可能性を念頭に置いておく必要があるのかもしれません。なにがしかのソフトウェア的な対応である程度のセキュリティは担保されることになるのでしょうが、これからしばらくの間IT製品に大きな投資をするのは正直微妙な感じがします。とくに運悪くタイミング的にシステムのハードウェアリプレースを今年しなければならないような場合はかなり頭が痛い話となりそうです。
また、あまり大きな話題になっていませんが、本当にハードウェアの欠陥であったとIntelが認めた場合、この膨大なリプレース費用を本当にユーザーだけが負担するべきものなのか、という議論は今後は当然湧き起こってくるでしょう。いつまでもハードに爆弾を抱えたまま大規模なシステムを運用し、顧客資産や情報を扱うのは危険が伴うのは間違いなく、Intelが適切なセキュリティ対応しなかったのでハッカーに突破され大事な資産や情報が流出した、とは言い訳が聞かない部分が出てくるのは間違いありません。
このセキュリティ問題が大規模なリプレースを促し、Intelベースから新しいアーキテクチャに強制的に変更されていく過程では、ひょっとすると大きなイノベーションが湧き起こるかもしれませんし、ソフトバンク傘下となったARM社や、AMD社、クアルコム社、nVIDIA社などなど既存大手をはじめ、ハードウェアを担う各方面は世代交代を狙って大口の資金投入を急いで活況になっています。
こういう大きな流れに日本企業の名前があまり挙がらないのは残念なことではありますが、イノベーションを促す変革になるようアイデアを絞りたいところではあります。