2018年1月にCPU脆弱性の問題が明らかになって以降、多くのパソコン(PC)利用者やITシステム管理者が混乱に巻き込まれた。日経 xTECHが独自に実施したCPU脆弱性問題の影響調査では、拙速なソフトウエア更新が新たなトラブルを招くなど、現場で苦しむIT関係者の声が集まった。
あるシステム管理者は「クラウドサービス事業者が(修正を施して)サーバーを再起動した翌日、基幹システムが正常に起動しなくなった。対応するまでの間、受注業務がストップしてしまった」と回答した。顕著な性能低下を訴える声もあった。「クラウドサービスを利用して業務システムを構築しているが、ソフトウエアの更新後にサーバーのレスポンスが10ミリ~20ミリ秒程度低下した。アプリケーションによっては体感できるレベルのレスポンス低下が発生している」(システム管理者)という。
「対策がOSだけでなくBIOSやミドルウエアなど多岐にわたるうえ、すべての対策が出そろっているわけではないので対応を一挙に実施できない」(システム管理者)との声もあった。今回見つかった3種の脆弱性は、OSだけで対策するもの、OSとアプリケーションで対策するもの、ファームウエアとOS、アプリケーションで対策するものがあり、未だに更新版が公開されていないソフトも多い。
特定のソフトウエアの脆弱性であれば、そのソフトウエアだけ書き換えればいい。しかし顧客の手元にあるハードウエアに脆弱性があっても、ハードは容易には取り換えられない。このため、ハードへの攻撃に使える「穴」を可能な限り塞ぐよう、ファームウエアやOS、アプリケーションソフトウエアなど複数の層にわたって防御する必要がある。
対象がパソコンやサーバー、スマートフォンなど幅広いことも、混乱を招いた。今回見つかった脆弱性は、インテルだけでなく米AMD、英アーム(Arm)など複数の企業のCPUが抱える。脆弱性を発見した米グーグルなどの研究者は1995年以降のほぼすべてのシステムが影響を受けるとしている。搭載するOSやアプリケーションによって対応が異なるうえ、複数のITベンダーが情報や対策を個別に提供するため、パソコンやITシステムの利用者が的確に対策するのは困難だったといえる。
