サイバー攻撃者を「撃退する」というのはなかなか難しい。新年早々に、企業の情報を守る担当者としては気になるニュースが世界を駆け巡った。新聞などの見出しは「ＣＰＵに脆弱性」と、分かりやすそうである。しかも海外の一部メディアの第一報は「インテルのＣＰＵに脆弱性」とあって、インテルの株価に大きな影響が出た。

この第一報は誤解を含んだもので、直ちにインテルがこの報道を修整する状況説明を行った。また、関係する他のＣＰＵベンダーやＯＳ提供会社などがインテルの反論を裏付ける発表を相次いで行ったので、おぼろげながら全体像が見えてきた。「脆弱性」はインテルの製品特有のものではなく、業界全体の問題だった。

説明は技術的な中身に踏み込んでいるので一般の読者には難しいが、専門サイトでは「CPUの投機実行機能に脆弱性発見。業界をあげて対策へ」「Intel、AMD、Armなど多数のCPUが対象」、ただし、「コンシューマでは影響は軽微」とある。最後の「コンシューマでは影響は軽微」とあるのに一般読者はほっとする。

事態はこういうことのようだ。
グーグルの研究チームがコンピューターの心臓部に当たるＣＰＵについて、処理を高速化させる投機実行機能（空いているリソースを使って条件分岐の先を予め実行させる）を使う際に、外部からの攻撃を受け、情報を盗まれる可能性があることを発見した。この脆弱性を衝かれて情報漏洩が起きたという事態は確認されていないが、現在のＣＰＵでは一般的に利用されている機能なので影響は大きい。グーグルの指摘を受けて昨年夏ごろからインテル、ＡＭＤ、アームなどのＣＰＵベンダーやその上でＯＳを動かすグーグル、マイクロソフトなどのソフトメーカーやアップルなど関係業界の企業が対策を検討してきた。

その対策の一部が、インテルだけの問題として誤って報道されたようだ。

各社は2月頃にも脆弱性の存在と対策を同時に一斉発表する準備を進めてきたが、インテルについての報道が誤解を含んで先行したため、正確な情報を発信すべく、対策については「生煮え」のまま前倒しして報道発表、対策を施したソフトのリリースを始めている。

この脆弱性については、専門のメーカーでは複雑な作業が必要のようだが、一般のユーザー、ＯＳのアップデートで済むようである。企業の情報担当者としては利用者に頻繁に「ＯＳのアップデートを実行する」ように勧め、さらに気になれば各社のサイトから情報を得て、必要な作業をするように、社内に指示する、ということだろう。

今回のＣＰＵの脆弱性は、攻撃者に気がつかれないうちに発見し、被害のないうちに、潜行して対策を講じつつある。こういう、気がつかないままの脆弱性はあちこちにあるのだろう。万全なＣＰＵ、ＯＳ、アプリというものは存在しないという、厳粛な事実を認識して、ベンダー各社が提供するリスクに関する情報に注意を向けておかなければならない。

それにしてもどこに「穴」が見つかるか分からない。攻撃する側が守る側より早くその穴を見つけてシステム内部に入り込む、という危険がいつまでも消えない。保管している情報を守る側としては、システムを守る防衛ラインが突破された後でも情報だけは保護できる手立てが必要になる。