2.古いハードウェアを新しいものに置き換える
CERTが最初に公開したアドバイザリの「対策」の項目には、「CPUを交換する」という乱暴なアドバイスが書かれていた。このアドバイスは、技術的に言えば不可能ではないかもしれないが、代わりになるCPUが存在していない現状ではまったく役に立たない。また、仮に問題が修正された次世代のCPUが入手可能になったとしても、すでに出回っている数十億台のPCやMac、スマートフォンのCPUをすべて交換するのは不可能だ。
新しいアドバイザリには、より現実的なアドバイスが掲載されている。「アップデートを適用すること。OS、CPUのマイクロコードのアップデート、一部のアプリケーションのアップデートによって、攻撃の影響を緩和できる」というものだ。
しかし、一部の古いデバイスには、今後も脆弱性から身を守るために必要なファームウェアアップデートが提供されない可能性がある。IntelがCPUのマイクロコードをリリースしても、パッチを開発して、テストして、リリースするのはデバイスメーカーだ。例えば、MicrosoftがSurfaceシリーズ向けに提供する予定のファームウェアのリストには、「Surface Pro 2」や初代の「Surface Pro」は含まれていない。
それに加え、Haswellより前のIntelのCPU(Ivy Bridge以前のモデル)を使用しているデバイスでは、アップデートを適用すると深刻な性能低下が生じる可能性が高い。
いずれにせよ、たとえ発売から4年以内のデバイスであっても、早めにハードウェアを処分して、新しく、高速で、より安全なモデルと交換するのが正しい選択となる場合もあることを念頭に置くべきだ。
3.パッチの適用戦略を立案する
Microsoftはまず、1月の月例アップデートの1週間前に、一連の定例外セキュリティアップデートを公開した(Windowsクライアントのアップデートに関する詳細はこのアドバイザリに記載されている)。
これらの「ゼロデイ」アップデートは、修正しようとする脆弱性と同じくらい大きな問題を引き起こすことがある。今回も、AMDのAthlonを搭載するPCの一部ユーザーが、Microsoftが提供するWindows 10のMeltdownとSpectreへの対応パッチをインストールしたことで、PCがクラッシュして起動できなくなる事態に陥った。Microsoftは、一部のAMD系デバイスがアップデートのインストール後に「起動できない状態」に陥ったことを認め、修正対象のAMDプロセッサを搭載したデバイスへのアップデートの配布を中止し、問題の修正に取り組んだ。
パニックに陥らずに、まずアップデートのテストを行ったユーザーは、おそらく問題を回避できただろう。実際、Windows Update for Businessの設定を変更して、通常のセキュリティアップデートを一週間ほど保留するようにしておけば、アップデートに関する問題のほとんどを回避できる。この種の問題は、配信から数日以内に発見され、修正されることが多いためだ。
これらのいわゆる「品質更新プログラム」を保留するには、Windows 10のProエディション(「Windows 10 S」を含む)、Enterpriseエディション、Educationエディションのいずれかを使用している必要がある。Windows 10 Homeエディションでは、アップデートを管理することはできない。バージョン1709以降では、[設定] > [更新とセキュリティ] > [Windows Update] > [詳細オプション]でこのオプションを設定できる(図参照)。
Windows 10バージョン1709では、この設定で「品質更新プログラム」の適用を保留し、テストを行う時間を稼ぐことができる。
