「2038年問題」に向けて今すぐにでも対処すべき脆弱性

　ベルギーで開かれた「BruCON Security Conference 2025」において、サイバーセキュリティ研究者トレイ・ダーリー氏とペドロ・ウンベリーノ氏が、2036年および2038年に発生する時刻ロールオーバー問題が世界的なセキュリティリスクに発展し得ると警告した。両氏は、この問題は単なる技術的バグではなく「脆弱（ぜいじゃく）性」として認識すべきだと訴えている。

【その他の画像】

●2038年を待たずして発生するリスク　セキュリティ崩壊の可能性も

　「2038年問題」（Y2K38）とは、コンピュータが時刻を数値として扱う際に使う32bitの整数が上限に達することで発生するバグとされている。多くのシステムでは1970年1月1日からの経過秒数を記録しており、2038年1月19日3時14分8秒（UTC）にカウンターがオーバーフローし、1901年12月と誤認する。この結果、プログラムが日付や有効期限を誤って処理し、誤作動や停止を引き起こす危険がある。

　彼らは講演で、「UNIX」系システムが内部で使用する時刻カウンターが上限に達し、2038年1月19日に誤作動を引き起こす可能性があること、NTP（Network Time Protocol）の設計上の限界によって2036年にも類似の問題が発生することが指摘している。これらはいずれも、世界中の機器やネットワークの「時間の整合性（Time Integrity）」を損なう危険性がある。ダーリー氏は時間はデジタル社会の見えないインフラであり、その崩壊は通信や制御、安全の根幹を揺るがすと述べている。

　この問題は2030年代に突発的に起こるものではないと警告している。時刻を改ざんする攻撃手法が既に存在しており、攻撃者はNTPやGPSの信号を操作することで、対象システムを意図的に誤作動させることが可能だという。つまり、Y2K38問題は「未来の危機」ではなく「現在の脅威」として捉えるべき段階に入っているとし、攻撃者がシステム時刻を操作すれば、2038年を待たずして混乱を引き起こせると強調した。

　両氏はこうしたリスクへの世界的な対応の遅れを危惧している。2000年の「Y2K問題」では各国政府や国際機関が協調して大規模な修正作業を実施し、被害を最小限に抑えた。しかし今回は、同様の枠組みが存在せず、複雑なサプライチェーンの中で問題を特定することが困難だ。埋め込み機器や産業用制御システムの多くが32bit設計のまま稼働しており、更新や交換が容易でないことが事態を深刻化させている。

　この他、時刻の乱れが単に機能停止を招くだけでなく、セキュリティそのものを崩壊させる可能性も指摘している。デジタル証明書やログ解析、多要素認証など、多くの防御技術が正確な時刻情報を前提としているため、時刻がずれれば認証が無効化され、攻撃の痕跡を隠蔽（いんぺい）することも可能になる。時間がずれることは、セキュリティの土台が崩れることに等しいとし、組織のリスク認識を改める必要性を訴えている。

　彼らはY2K38問題を巡る実例も紹介している。調査では産業制御装置やスマートデバイスの中に、時刻設定を変更するだけでクラッシュするものが多数存在したという。ガソリンスタンドの自動タンクゲージやスマートTVなど、一般的な製品にも影響が確認されている。これらの結果から、日常生活のあらゆる領域にこの脆弱性が潜んでいる可能性が示唆されている。

　ダーリー氏とウンベリーノ氏は、「The Epochalypse Project」というプロジェクトも立ち上げている。このプロジェクトは、時刻ロールオーバー問題の影響を受ける機器やインフラを調査し、対策情報を共有する国際的な取り組みだ。両氏はこの活動を通じて、時間の扱いをインターネットやDNSと同等のセキュリティ要素として再定義することを目指している。

　両氏の警告は明確で「2038年まで、まだ時間がある」と考える姿勢が最大のリスクとなる。現行のネットワークや制御システムにおいて、時刻の誤差や改ざんは攻撃の手段となり得るとし、行動を起こす時期は既に来ていると警告している。