CPU の脆弱性の問題(Meltdown/Spectre)関連情報について

  • Article

(5 月 7 日更新)

こんにちは。Windows プラットフォーム サポートです。

 

現在、CPU の脆弱性(Meltdown/Spectre)に関連したお問い合わせを、多くいただいております。

弊社にいただいております良くあるお問い合わせや、公開情報についてまとめさせていただきました。本ページは今後も随時更新される予定です。

なお、本件につきましては以下の弊社公開情報も合わせてご確認ください。

 

(脆弱性全般の情報)

(クライアント向け、サーバー向け適用ガイド)

(ウイルス対策ソフトとの互換性について)

(パフォーマンスへの影響について)

(一部の AMD デバイスでの問題について)

(Hyper-V 環境での対応手順について)

 

FAQ 

[更新プログラムの検出について]

Q. ウイルス対策ソフトとの互換性を確認する QualityCompat のレジストリキーの用途は?

A. アンチウィルス アプリケーションが Windows のカーネルメモリに対してサポートされていない呼び出しを行う場合に発生する互換性の問題があり、この呼び出しの結果として、STOP エラー (ブルースクリーンとも呼ばれる) が発生し、デバイスが起動できない場合がございます。

このような互換性のないアンチウィルスアプリケーションによる問題を防ぐために、弊社では、2018 年 1 月 3 日にリリースいたしましたセキュリティ更新プログラムにつきましては、以下のレジストリ設定を更新プログラムの検出条件としており、本レジストリの設定がない場合、Windows Update 及び WSUS による更新では当該の更新プログラムが検出されない仕組みとなっております。

なお、本設定自体は CPU の脆弱性の問題に対する緩和策を含んでいる更新プログラムを Windows Update 及び WSUS にて検出するための設定であり、この設定自体は CPU の脆弱性の問題と直接の関係はありません。

この検出条件については、Windows セキュリティ更新プログラムをインストールした後にデバイスのクラッシュが発生しないお客様が大部分になるまで、この要件の適用を継続する予定です。(追記:下記の更新情報もご参照ください。)

キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

名前:cadca5fe-87d3-4b96-b7fb-a231484277cc

種類:REG_DWORD

値: 0x00000000

 

2018 年 4 月 11 日の更新情報

サポートされる Windows 7 SP1 および Windows 8.1 デバイス向けに、上記レジストリ値に基づく Windows Update 経由の Windows セキュリティ更新プログラム用ウイルス対策 (AV) 互換性チェックを解除しました (Windows Server 2008 R2  SP1 および 2012 R2 についても同様です。)。AV ソフトウェアに互換性があることは今後も要件とし、AV ドライバーの互換性に関する既知の問題がある場合は、問題を回避するために、該当するデバイスには Windows 更新プログラムが提供されません。更新プログラムが検出されない場合は、インストールされている AV ソフトウェア製品の互換性(ご利用の AV ドライバーが互換性があるバージョンか等)について、AV プロバイダーに問い合わせることをお勧めします。

2018 年 3 月 14 日の更新情報

マイクロソフトは、ウイルス対策 (AV) パートナーと共に Windows 更新プログラムとの互換性に取り組み、幅広いエコシステムについて持続可能なレベルの互換性を実現しました。  入手可能なデータの分析に基づき、サポートされる Windows 10 デバイス向けに、上記レジストリ値に基づく Windows Update 経由の Windows セキュリティ更新プログラム用 AV 互換性チェックを解除しました(Windows Server  2016 についても同様です。)。 AV ソフトウェアに互換性があることは今後も必須の条件とし、AV ドライバーの互換性に関する既知の問題がある場合は、問題を回避するために、該当するデバイスを更新プログラムからブロックします。更新プログラムが検出されない場合は、インストールされている AV ソフトウェア製品の互換性(ご利用の AV ドライバーが互換性があるバージョンか等)について、AV プロバイダーに問い合わせることをお勧めします。

 

Q. 更新プログラムを手動で適用しますが、QualityCompat を設定する必要はありますか?

A. Microsoft Update カタログからダウンロードした msuファイルを直接実行する場合、本レジストリの設定に関わらず、更新プログラムが適用されます。更新プログラムの適用前にウイルス対策アプリケーションが互換性を保持しているか、事前にお使いのウイルス対策プロバイダーに問い合わせの上、実施ください。

 

[更新プログラムの適用について]

Q. パッチ適用の前提条件はありますか。

A. 今回の更新プログラム固有の条件ではありませんが、一部の OS バージョンでは更新プログラム適用の前提が必要になります。

Windows 7 及び Windows Server 2008 R2では Service Pack 1 が適用されている必要があります。

Windows 8.1、Windows Server 2012 R2 及び Windows Storage Server 2012 R2 では KB2919355 が必要となります。

KB2919355 の適用にはさらに、KB2919442が前提となりますので、未適用の場合には、KB2919442を先にインストールください。

Windows 10 及び Windows Server 2016 には前提条件はございません。

 

Q. 2018 年 1 月のセキュリティのみの更新プログラムまたは 2018 年 2 月のセキュリティのみの更新プログラムをインストールしていない場合、このアドバイザリに記載されている脆弱性から保護するためには、何をインストールする必要がありますか。

A. セキュリティのみの更新プログラムは累積的ではありません。このアドバイザリに記載されている脆弱性から保護するためには、実行中のオペレーティング システムに応じて、1 月、2 月、3 月などのセキュリティのみの更新プログラムをインストールする必要があります。たとえば、影響を受ける Intel CPU 上で Windows 7 for 32-bit Systems システムを実行している場合は、1月、2 月、3 月などのセキュリティのみの更新プログラムをインストールする必要があります。これらのセキュリティのみの更新プログラムは、リリース順にインストールすることをお勧めします。

注: この FAQ の以前のバージョンでは、このアドバイザリに関連した問題について、2 月のセキュリティのみの更新プログラムには、1 月にリリースされたセキュリティ修正プログラムが含まれていると誤って記載されていました。

 

Q. Windows 7 および Windows 8.1 の 32ビット (x86) 環境で、脆弱性から保護するためにはどの更新プログラムを適用したらよいですか?

A. 2018 年 1月の 32 ビット (x86) 環境向け更新プログラム では、3件ある脆弱性のうち、 CVE-2017-5753 と CVE-2017-5715 を解決するための更新が提供されておりましたが、CVE-2017-5754 に対する保護が提供されていませんでした。弊社では、その後、2018 年3月の 更新プログラムとして、CVE 2017-5754 ("メルトダウン") に関連する 32 ビット (x86) バージョンの Windows に対する追加の保護機能を提供するために、以下のセキュリティ更新プログラムをリリースしました。

  • 4088875 – (マンスリー ロールアップ) Windows 7 for 32-bit Systems Service Pack 1 用
  • 4088878 – (セキュリティのみ) Windows 7 for 32-bit Systems Service Pack 1 用
  • 4088876 – (マンスリー ロールアップ) Windows 8.1 for 32-bit Systems 用
  • 4088879 – (セキュリティのみ) Windows 8.1 for 32-bit Systems 用

マンスリーロールアップをご利用の場合は、3月の更新プログラムを適用ください。セキュリティのみの更新プログラムを適用いただく場合は、上記 FAQにありますとおり、セキュリティのみの更新プログラムは累積的ではないため、3月の更新プログラムだけではなく、1月、2月、3月のセキュリティのみの更新プログラムをインストールする必要があります。これらのセキュリティのみの更新プログラムは、リリース順にインストールすることをお勧めします。 

 

Q. Windows Server 2008 と Windows Server 2012 ではどんな対策を取ることができますか?

A. 以下公開情報の  3 月 14 日の更新にございますように Windows Server 2008 および Windows Server 2012 向けにも脆弱性のリスクを軽減する更新プログラムをリリースさせていただきました。

 

ADV180002 | 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス 

https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180002

----- 抜粋 -----

6.Windows Server 2008 および Windows Server 2012 プラットフォームで更新プログラムを入手できないのはなぜですか。修正プログラムはいつ入手できますか。

一部のオペレーティング システムでは、ソフトウェアの更新プログラムでハードウェアの脆弱性に対処することは非常に困難であり、大幅なアーキテクチャの変更が必要になる可能性があります。マイクロソフトは影響を受けるチップの製造元との協力を継続し、リスク軽減策を提供する最善の方法を調査しています。

2018 年 3 月 14 日 更新マイクロソフトは、このアドバイザリで説明した脆弱性のリスク軽減策を提供するために、Windows Server 2008 および Windows Server 2012 用に次のセキュリティ更新プログラムをリリースしました。更新プログラムをダウンロードしてインストールするためのリンクについては、「影響を受ける製品」一覧を参照してください。これらの更新プログラムは、Windows Update でも入手できます。

4090450 – Windows Server 2008 for 32-bit Systems
4090450 – Windows Server 2008 for x64-based Systems
4090450 – Windows Server 2008 for Itanium-based Systems
4088877 – (Monthly Rollup) Windows Server 2012
4088880 – (Security Only) Windows Server 2012
----- 抜粋 -----

 

Q. インテル社より、再起動の頻度が増加する問題があり、マイクロコードの更新を適用しないように発表があったようです。何か対応が必要でしょうか?

A. インテル社は、Spector Variant 2 (CVE 2017-5715) への対応として最近リリースされたマイクロコードについて、"予想以上の再起動やその他の予測不可能なシステムの動作" を引き起こす可能性があり、そのような状況は、"データの損失または破損する可能性があります”と指摘しています。

このため、1月22日、インテル社はお客様に対し、影響を受けるプロセッサーに対し現在のマイクロコードを展開することを中止するよう推奨しました。同社では追加のテストを行い、新しい解決策を提供するとしています。従いまして、同社の新しいマイクロコードを適用いただくことが解決策になります。

 

他方、インテル社は新しいマイクロコードのテスト、更新、配備を行う期間が必要なため、その間に再起動等の問題を緊急に回避する手段をご提供すべく、弊社では、定例外の更新プログラムとして、KB4078130 をご利用できるようにしました。

お客様は、すでにインテル社のマイクロコード更新を適用済みで上記の再起動等の問題の影響を回避したい場合に、この更新プログラムを Microsoft update カタログからダウンロードして適用することで、CVE 2017-5715 の脆弱性に対する緩和策を無効にし、上記の再起動などの問題を回避できます。

 

この更新プログラムは、クライアントとサーバーの Windows 7  SP1/Windows Server 2008 R2、windows 8.1/Windows Server 2012 R2、および Windows 10/WIndows Server 2016 のすべてのバージョンを対象としており、必要なお客様のみ、 Microsoft update カタログからダウンロードして適用できます。(問題が発生するマイクロコード更新を未適用の場合は、適用の必要はございません。)

この更新プログラムは、CVE 2017-5715 脆弱性に対する緩和策のみを無効にするレジストリの変更を行います。

 

インテルにより新しいマイクロコードが提供された際には、KB4078130 を適用されたお客様には、必要に応じて、レジストリ設定を行い、CVE-2017-5715 に対する緩和策を再度有効にすることをお勧めします。

 

[緩和策の有効化について]

Q. CPU の脆弱性の対策には、Windows の更新プログラム適用のほかに対策は必要ありますか?

A. 今回の脆弱性は CPU の脆弱性であり、利用できるすべての保護を受けるためには、OEM デバイスの製造元からリリースされた該当するプロセッサ マイクロコードまたはファームウェアの更新プログラムも適用する必要があります。

(詳細については、デバイスの製造元にご照会ください。)

 

Q. クライアント OS については、パッチ適用のみで Windows 上の緩和策が有効化されますか?

A. はい、パッチ適用のみで緩和策が有効化されます。

 

Q. サーバ OS については、パッチ適用のみで緩和策が有効化されますか?

A. いいえ、FeatureSettingsOverride および FeatureSettingsOverrideMask のレジストリを有効化しない限り、緩和策が有効化されません。更新プログラム適用と合わせてレジストリ設定を実施ください。

 

Q. 更新プログラムを適用せずに、FeatureSettingsOverrideとFeatureSettingsOverrideMaskのレジストリの変更だけ実施する必要はありますか?

A. 更新プログラムを適用しない場合上記レジストリの設定を実施いただく必要はございません。

 

Q. 更新プログラムの適用とレジストリ(FeatureSettingsOverrideとFeatureSettingsOverrideMask)の変更の順番はどちらが先でも問題ないですか?

A. はい、どちらが先でも問題ありません。ただし、FeatureSettingsOverride と FeatureSettingsOverrideMask の設定反映には再起動が必要となります。緩和策を有効化する際に 1 度の再起動としたい場合は、更新プログラム適用後の再起動とレジストリ設定後の再起動のタイミングを合わせてください。

 

Q. HyperVのホストとゲストへはどのように対応したらよいですか?

A. Hyper-V 環境への対応策については、以下をご確認ください。

- 公開技術情報

Protecting guest virtual machines from CVE-2017-5715 (branch target injection)

/ja-jp/virtualization/hyper-v-on-windows/CVE-2017-5715-and-hyper-v-vms

 

[システムへの影響について]

Q. 更新を適用後、パフォーマンスは低下しますか?

A. ご利用の環境によりましては、パフォーマンスの低下が発生する可能性があります。具体的な影響内容はハードウェアの世代やチップ製造元の実装方法により異なりますため、実際の環境で発生するパフォーマンスの影響を評価し、必要に応じて調整いただくことを推奨いたします。

 

[更新プログラム適用後の特権昇格の脆弱性について]

Q. 1-3 月の月例更新プログラム適用した Windows 7 64bit および Windows Server 2008 R2  環境で脆弱性があるとのことですが、どのように対応したらよいですか?

A. 弊社では、上記の問題に対応するため、定例外のセキュリティ更新プログラムを公開しております。そちらをご適用ください。詳細は以下の弊社技術文書をご参照ください。

 

CVE-2018-1038 | Windows カーネルの特権の昇格の脆弱性 CVE-2018-1038 の Windows カーネルの更新プログラム