#5131

世界規模の綻び


今日、今使っているレンタルサーバーから緊急メンテナンスのお知らせが来たのですが、
その理由というのがCPU脆弱性(Meltdown and Spectre Vulnerability)の対応とのことで、
なんだか最近似た文言をどこかで見た気がすると思ったら、
今日の昼のRSSニュース一覧で見たiOSのアップデート通知(11.2.2)に関する記事でした。
それでちょっと気になったのでCPU脆弱性について調べてみたのですが、
この度1月3日に発表されたメルトダウンおよびスペクター脆弱性というのは、
最近のCPUがほとんど備える「投機的実行」というプロセスの不備を突いて
CPUが扱うメモリにアクセスできるようになるというもの。
原理的にはCPUが取り扱う情報=そのPCが処理するすべての情報を盗まれる可能性があるとのこと。
また、javascriptを使えば、悪意あるサイトにアクセスしただけで
CPU脆弱性を通じて情報を盗み見られることも理論的にはあり得るそうです。
ソフトウェアの問題ではないため、WindowsだろうがMac OSだろうがAndroidだろうがiOSだろうが
ありとあらゆる最近の端末に潜在する脆弱性ということになります。
これってとんでもないことなのでは??
詳しい原理などを知りたい方は
トレンドマイクロ・セキュリティブログに詳しい解説が載っているのでそちらをどうぞ。
(参考:投機的実行に関する脆弱性「Meltdown」と「Spectre」について解説

レンタルサーバーは1月15日に対応してくれるとのことなのですが、
やはり問題になるのはアップデートをずっと見送ってきたプライベート環境。
iOSは11にしてしまうと32bitアプリが動かなくなるので
iPhone 7Plusは機種変してもずっとiOS10でいくつもりでしたが、
こういうセキュリティ脅威が今後も累積していくと考えるとやっぱりリスキーかなとは思います。
Windowsは大晦日にアップデートして(そういえば動作が重くなったのもそれがきっかけだった)、
なんだかんだで渋々と月イチくらいで手動更新するようにはしていますが、
Firefoxなんかはつい先日の動作不安定の問題やTab Mix Plusを使えない問題も抱えているので
現時点ではやはりどうしてもアップデートはちょっと躊躇うところがあります。

薄々必要性を感じていましたが、こうやって必ずしも最新版を使えないことを考えると、
そろそろセキュリティソフトもWindows Defender頼みではなく
対応の早そうなサードパーティー製に乗り換えるべきなのかも。
もちろん、セキュリティソフトがあれば
旧バージョンを使い続けても良いというわけでもないのでしょうが。

0