resolute(Ubuntu 26.04 LTS)の開発;Snapshot 3のリリースとSteam snap for arm64
resolute(Ubuntu 26.04 LTS)はSnapshot 3がリリースされ、順調に「本来の姿」を目指した開発が進められています。とはいえカーネルもGNOMEもまだ予定される本来のバージョン(カーネル6.20+GNOME 50)には遠く、特にカーネルは「どう考えても6.20のRC版が搭載されるのが2月半ば、リリース版がUbuntu的なカーネルフリーズに間に合うかどうかわからないので、いわゆる『Day 0パッチ』作戦で行く」というなかなかにヘビーなアプローチが構成されています。
こうした流れの横で、Arm64版のSteam Snapの準備が進められています。これはFEXを用いて「Arm64を使ってi386とAMD64をエミュレートする」(つまり「ArmでIntel/AMD向けバイナリを動かす)ことで、「Steam上にあるゲーム(本来Windows+i386 or AMD64)を、Linux+Arm64環境で動かす、というものです。そのような環境で、特にプロテクトのためのDRMやアンチチートツールなどが正常に動作するのか、という問題や、そもそもエミュレーションが適切に実行されるのか、といった問題はありつつ、興味深いものとなっています。
開発者がテストに使っているのはDGX Spark(3999USDのハイエンドマシン)ということもあり、「ベンチマークに使われることのあるハイエンドゲーム」のたぐいでもかなり良好なフレームレートを出しつつ、いろいろなゲームが動く、という好成績を示しています。
Ubuntu 25.04 “Plucky Puffin”のサポート終了
Ubuntu 25.04 “Plucky Puffin”のサポートが1月15日に終了しました。サポート終了移行、どのような致命的なものであっても、バグやセキュリティ修正は提供されません。現在25.04を利用しているユーザーは、25.10へアップグレードする必要があります(同時に、25.10のサポート期間は26.04 LTSがリリースされてから3ヶ月程度なので、年内にまたアップグレードを行う必要があります)。
お知らせ:「今週のセキュリティアップデート」廃止と、『注目すべきセキュリティー的な視点』コーナーの開始
これまで本連載の「今週のセキュリティアップデート」では、個別のUSN(Ubuntu Security Notice)でターゲットになったもの(https://lists.ubuntu.com/archives/ubuntu-security-announce/に掲載されているもの)を軸として、個別の脆弱性の影響範囲をサマリし、特異性がある場合は個別に説明を加えて提供する、というアプローチを行っていました。
今年から、この方向性を変更する予定です。
セキュリティ情報の列挙は、古典的なサーバー管理における「伝統芸能」の一種です。脆弱性、あるいはソフトウェアアップデートに含まれる変更点を見切った上で、「更新することで挙動が変わるリスク」+「更新そのものによって発生するシステムの一時的なデグレードや、更新作業の準備、互換性の確認といった作業コスト」と、「更新しないことによって発生するセキュリティ的なリスク」を比較し、より妥当な方法を選択する補助情報となることを意図していました。
この方法論はある程度決まった期間に一度、「まとめてアップデートを行う日」のようなものを設計しておき、その日にアップデートを集中させ、あとはできるだけシステムに影響が出ない範囲でセキュリティを維持していく、というものです。『維持』のためのアプローチとしては、「アップデートできないのであれば、そもそも攻撃に使えないように接続元や頻度を管理する」「強制アクセス制御によってプロセスを隔離し、プロセスの乗っ取りがシステムの侵害に繋がらないようにする」といったものが典型的です。
しかしこの数年、控えめに言ってもこの2年は、AIの性能や、そのUIが大幅に進化し続けており、この状況は大きく変わり筒有ります。たとえば「AIを悪用することで、攻撃者にとって有利になる可能性が高くなる」「既存のセキュリティが依存している暗号系そのものの変質」「攻撃コード作成の難易度の低下」といった要素によって、この比較を行う難易度は大きく上がり続けており、上述のような古典的なアプローチではリスク制御が困難になりつつあります。
もちろんコストとリターンの比較そのものをAIによって行うことで比較のコストや難易度を下げる、という方法はありえるのですが、「都度比較する」よりは「とにかくまずはアップデートを適用できるようなシステムに変更していく」という方向のほうがより建設的かつ容易になっていくと見込まれます[1]。
この流れを推し進める最大のポイントが、クリプトアジリティへの対応です。これは「既存のセキュリティが依存している暗号系そのものの変質」の典型例で、「AIによってさまざまな分野の研究が進むことで量子コンピューターそのもの、あるいは量子コンピューターで利用できるアルゴリズムが進化し、既存の暗号系が前提とする数学理論や計算量による保護が機能しなくなる日が来るであろう」というものです。これが現実となった場合、「定期的にまとめて」+「選択的にアップデートする」ことの難易度は大きく跳ね上がるため、システムの運用設計の段階でそもそも妥当なモデルを考えておく必要があります。
こうした流れに対応するため、本連載における「今週のセキュリティアップデート」は個別のUSNを取り上げるアプローチから、Vulnerability knowledge baseに掲載された(あるいは何らかの形で特異な注目が必要になった)脆弱性や傾向を取り上げる形に変更し、個別のUSNのピックアップはいったん終了する予定です。同質のトラッキングが必要な場合は、OVAL経由で情報を取得するか、あるいはUSNのページにあるインターフェースを軸に情報をピックアップする、個別のCVE-IDベースの識別についてはSearch CVEsインターフェースを利用する、といった方法をご利用ください。
来週以降しばらくは、こうした『業界の動き』、あるいは関連する新しい手法についての解説をお届けしていく予定です。また、諸般の事情により2026年1月は本連載についてお休みを頂いていた関係から、1月に起きたセキュリティ以外の動きについても、順次お届けしていく予定です。
[1] こうした「伝統芸能」がまったく必要なくなる、というのはまた別の話なので、こうしたスキルを維持する、あるいはAIの支援によって実現するために、基礎を学んでおくことを省略できるわけではありません。また、「どうせみんなAIを使うから差が付かなくて、最後はやっぱり使い手の側で勝負が決まる」といった世界になる可能性も十分にありえるため、こうした勉強をしなくてよい、という結論を導くのは危険です。