緊急パッチだけではプロセッサ脆弱性対策は不十分――Spectre＆Meltdown対策状況を再チェック：山市良のうぃんどうず日記（117：緊急特別編）（1/4 ページ）

2018年早々、プロセッサに影響する脆弱性が公表されました。そして、Microsoftは1月の定例日（1月10日）を待たずにこの脆弱性を軽減する緊急のセキュリティパッチを含む更新プログラムの提供を開始しました。この緊急パッチをインストールしたことで安心してはいませんか。今回の問題は、OSのパッチだけでは不十分です。

[山市良，テクニカルライター]

山市良のうぃんどうず日記

筆者からの注意

　本稿は、ITプロフェッショナルの方に向けた記事です。「Spectre」および「Meltdown」の脆弱（ぜいじゃく）性に関する情報は、日々アップデートされています。できるだけオリジナルの情報を確認することをお勧めします。本稿で紹介する内容や手順は、一般のWindowsユーザーにとっては難しいでしょう。ご利用中のPCにおけるWindows側の対策は、ウイルス対策ソフトを最新状態に維持し、Windows UpdateでWindowsを最新状態に更新するだけで十分です。ただし、「2018-01」から始まる名前の更新プログラムがインストールされておらず、検出もされない場合は対応が必要です。後は、PCメーカーから提供される（されない場合もあります）BIOS／ファームウェアを更新することが重要ですが、それについてはPCの購入元に問い合わせるか、PCメーカーのWebサイトなどで確認してください。

Windows OSにおけるSpectre ＆ Meltdown対策の最新状況

　「Spectre」および「Meltdown」と呼ばれる広範囲のプロセッサに存在するとされるハードウェアの脆弱（ぜいじゃく）性は、業界全体に影響するセキュリティ問題です。この脆弱性がどのようなものであり、どのような危険があるかについては、ここでは詳しく説明しません。今回は、この脆弱性問題に関する対策状況をまとめます。

　Microsoftはこの脆弱性問題を「Speculative execution side-channel vulnerabilities（投機的実行のサイドチャネル攻撃）」と呼び、以下のセキュリティアドバイザリを公開して、対処方法を説明しています。情報は頻繁にアップデートされているので、最新情報を見逃さないように、オリジナルの英語のページを併せて参照することをお勧めします。

• ADV180002｜投機的実行のサイドチャネルの脆弱性を緩和するガイダンス（Microsoft セキュリティアドバイザリ）
• ADV180002｜Guidance to mitigate speculative execution side-channel vulnerabilities［英語］（Microsoft Security TechCenter）

　今回の脆弱性問題は、以下のCVE（Common Vulnerabilities and Exposures）番号で識別される、広範囲のIntelプロセッサと一部のAMD、Armプロセッサに存在する脆弱性です。

• CVE-2017-5753（Bounds check bypass）……Spectre（Variant 1）
• CVE-2017-5715（Branch target injection）……Spectre（Variant 2）
• CVE-2017-5754（Rogue data cache load）……Meltdown（Variant 3）

　Microsoftは、2018年1月4日（日本時間）にこれらの脆弱性を“軽減する”緊急のセキュリティパッチを含む更新プログラムの提供を開始しました。Windows 10およびWindows Server 2016以降向けには「2018-01……累積更新プログラム」を、Windows 8.1およびWindows Server 2012 R2以前向けには「2018-01……セキュリティのみの更新プログラム」を（その後、同じセキュリティパッチを含む「2018-01……セキュリティマンスリー品質ロールアップ」としても提供されています）、一部を除くサポート対象のOSに対して提供しています。パッチの内容に関しては、以下のブログ記事で詳しく説明されています。

• Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems［英語］（Microsoft Secure）

　以下の表1に、2018年1月10日時点の更新プログラムで軽減される脆弱性をまとめました。32ビットOSについては、CVE-2017-5754への対策は未提供です。また、サポート対象OSですが、Windows Server 2008およびWindows Server 2012に対しては現状、この脆弱性に対するパッチは提供されていません。

	CVE-2017-5753 （Variant 1−Spectre）	CVE-2017-5715 （Variant 2−Spectre）	CVE-2017-5754 （Variant 3−Meltdown）	備考
Windows 7 SP1	○	○	○（64ビットOSのみ）	未提供の32ビットOS向け軽減策は将来の更新で提供予定
Windows 8.1	○	○	○（64ビットOSのみ）	未提供の32ビットOS向け軽減策は将来の更新で提供予定
Windows 10 バージョン1607以降（*1）	○	○	○（64ビットOSのみ）	未提供の32ビットOS向け軽減策は将来の更新で提供予定
Windows Server 2008	×	×	×	今回は軽減策の提供予定なし（別の方法を検討中）
Windows Server 2008 R2	○	○（軽減策は既定で無効）	○（軽減策は既定で無効）	軽減策の有効化にはレジストリ設定が必要
Windows Server 2012	×	×	×	今回は軽減策の提供予定なし（別の方法を検討中）
Windows Server 2012 R2	○	○（軽減策は既定で無効）	○（軽減策は既定で無効）	軽減策の有効化にはレジストリ設定が必要
Windows Server 2016（*2）	○	○（軽減策は既定で無効）	○（軽減策は既定で無効）	軽減策の有効化にはレジストリ設定が必要
Windows Server バージョン1709（*2）	○	○（軽減策は既定で無効）	○（軽減策は既定で無効）	軽減策の有効化にはレジストリ設定が必要
表1　プロダクトサポート対象のWindowsにおける、Spectre＆Meltdown脆弱性のパッチ状況

（*1）ビルド番号16299.192（バージョン1709）、15063.850（バージョン1703）、14393.2007（バージョン1607、2016 LTSB）、10586.1356（バージョン1511）、10240.17738（2015 LTSB）でパッチ済みです。Windows 10 Enterprise 2015 LTSB（バージョン1507）、およびWindows 10 Enterprise／Educationバージョン1511にもパッチ提供あり。

（*2）Windows Server 2016はビルド番号14393.2007、Windows Server バージョン1709はビルド番号16299.192でパッチ済みです。

　なお、緊急パッチは、定例の累積的な品質更新プログラムを“前倒し”して提供するものです。今後リリースされる累積的な品質更新プログラム（マンスリーセキュリティ品質ロールアップ）にも、同じ内容が含まれることになります。この脆弱性問題に対する軽減策は、パフォーマンスに影響する場合もありますが、この緊急パッチだけをスキップするということはできない点に注意してください。