緊急パッチだけではプロセッサ脆弱性対策は不十分――Spectre＆Meltdown対策状況を再チェック：山市良のうぃんどうず日記（117：緊急特別編）（4/4 ページ）

[山市良，テクニカルライター]

Windows Serverは軽減策の有効化の検討が必要

　以下の画面5は、緊急パッチをインストールし、ハードウェア側の対策も完了しているWindows Server 2016でのGet-SpeculationControlSettingsの実行結果です。このようにOSとハードウェアの両方で対応済みでも、Windows ServerではCVE-2017-5715とCVE-2017-5754の軽減策は既定で有効になりません。

画面5　緊急パッチとファームウェア更新済みのWindows Server 2016でGet-SpeculationControlSettingsを実行した結果。2つの軽減策は既定で有効化されない

　Windows Serverで軽減策を有効化するには、コマンドプロントを管理者として開き、以下の2つのコマンドラインを実行してから、3つ目のコマンドラインを実行してコンピュータを再起動します（画面6）。

C:\Windows\System32> REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
C:\Windows\System32> REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
C:\Windows\System32> SHUTDOWN /r /t 0

画面6　レジストリの設定後、再起動すると、軽減策が有効化される

　なお、軽減策の有効化は、サーバのパフォーマンスに少なからず影響する可能性があります。パフォーマンスへの影響を考慮し、悪質なコードが実行される機会が少ないというサーバの特性もあって、軽減策は既定で有効化されないのだと思います。軽減策を有効化した方がよいケースとしては、以下のサポート技術情報にあるように、Hyper-Vホスト、リモートデスクトップセッションホスト、コンテナホスト、SQL Server、Webサーバなどがあります。

• Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス（Microsoft サポート）
• Windows Server guidance to protect against speculative execution side-channel vulnerabilities［英語］（Microsoft Support）

　Hyper-Vホストで軽減策を有効化した場合は、仮想マシンのゲストOSもパッチの適用が必要です（画面7）。仮想マシンのゲストOSが更新されることで、ゲストOS側でも全ての軽減策が有効になります（ゲストOSがWindows Serverの場合は、軽減策の有効化が可能）。

画面7　Hyper-Vホストやコンテナホストの場合、ホスト側で対策済みであれば、最新OSを実行する仮想マシンや最新バージョンのベースOSイメージから作成したコンテナで対策が有効になる

　コンテナのベースOSイメージの場合は、軽減策を含む最新のベースOSイメージを使用することが重要です。「microsoft/windowsserver:latest」および「microsoft/nanoserver:latest」イメージの場合はバージョン「10.0.14393.2007」以降、「microsoft/windowsserver:1709」および「microsoft/nanoserver:1709」イメージの場合はバージョン「10.0.16299.192」以降で対策済みです。

　Microsoft AzureのIaaS（Infrastructure as a Service）環境は、プラットフォーム（ハードウェアおよびハイパーバイザー）レベルで脆弱性問題に対策済みです。仮想マシンのゲストOSを最新バージョンに更新する以外に追加の対応は、現状、必要ありません。Azure仮想マシンにおけるGet-SpeculationControlSettingsの実行結果は、筆者が確認した限り、CVE-2017-5715についてはハードウェアの対応状況がゲストOSに伝達されないようです（画面8）。

画面8　Azure仮想マシンにおけるGet-SpeculationControlSettingsの実行結果。CVE-2017-5715のハードウェアの対応状況は、仮想マシンには伝達されない模様

重要なのはハードウェアレベルでの対策

　繰り返しますが、今回の緊急パッチは、ハードウェアレベルでの対応が必要な脆弱性リスクの軽減策です。根本的に解決されるものではなく、今後も、新たな対策やパフォーマンスへの影響改善が行われることになるでしょう。

　また、今回の緊急パッチは、累積的な品質更新プログラムの一部であるということを認識することも重要です。パフォーマンスの低下を回避するために、今回のパッチをスキップするということはできません。仮に今回のパッチをスキップしてインストールしないとしても、次の累積的な更新（Windows 8.1以前はセキュリティのみの更新またはマンスリー品質ロールアップ）に同じセキュリティ更新が含まれることになります。

　Windowsクライアントにおいても、次のコマンドラインのように、前述のサーバ向けと同じレジストリ値「FeatureSettingsOverride」を「3」に設定することで、ファームウェアが対応済みの場合でもCVE-2017-5715とCVE-2017-5754に対する軽減策を無効化することができます（クライアント向けガイダンスで説明されています）。これで、パフォーマンスへの影響をある程度回避できるかもしれませんが、一方で、セキュリティのリスクは増大します。

C:\Windows\System32> REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
C:\Windows\System32> REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
C:\Windows\System32> SHUTDOWN /r /t 0

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。