緊急パッチだけではプロセッサ脆弱性対策は不十分――Spectre&Meltdown対策状況を再チェック:山市良のうぃんどうず日記(117:緊急特別編)(1/4 ページ)
2018年早々、プロセッサに影響する脆弱性が公表されました。そして、Microsoftは1月の定例日(1月10日)を待たずにこの脆弱性を軽減する緊急のセキュリティパッチを含む更新プログラムの提供を開始しました。この緊急パッチをインストールしたことで安心してはいませんか。今回の問題は、OSのパッチだけでは不十分です。
筆者からの注意
本稿は、ITプロフェッショナルの方に向けた記事です。「Spectre」および「Meltdown」の脆弱(ぜいじゃく)性に関する情報は、日々アップデートされています。できるだけオリジナルの情報を確認することをお勧めします。本稿で紹介する内容や手順は、一般のWindowsユーザーにとっては難しいでしょう。ご利用中のPCにおけるWindows側の対策は、ウイルス対策ソフトを最新状態に維持し、Windows UpdateでWindowsを最新状態に更新するだけで十分です。ただし、「2018-01」から始まる名前の更新プログラムがインストールされておらず、検出もされない場合は対応が必要です。後は、PCメーカーから提供される(されない場合もあります)BIOS/ファームウェアを更新することが重要ですが、それについてはPCの購入元に問い合わせるか、PCメーカーのWebサイトなどで確認してください。
Windows OSにおけるSpectre & Meltdown対策の最新状況
「Spectre」および「Meltdown」と呼ばれる広範囲のプロセッサに存在するとされるハードウェアの脆弱(ぜいじゃく)性は、業界全体に影響するセキュリティ問題です。この脆弱性がどのようなものであり、どのような危険があるかについては、ここでは詳しく説明しません。今回は、この脆弱性問題に関する対策状況をまとめます。
Microsoftはこの脆弱性問題を「Speculative execution side-channel vulnerabilities(投機的実行のサイドチャネル攻撃)」と呼び、以下のセキュリティアドバイザリを公開して、対処方法を説明しています。情報は頻繁にアップデートされているので、最新情報を見逃さないように、オリジナルの英語のページを併せて参照することをお勧めします。
- ADV180002|投機的実行のサイドチャネルの脆弱性を緩和するガイダンス(Microsoft セキュリティアドバイザリ)
- ADV180002|Guidance to mitigate speculative execution side-channel vulnerabilities[英語](Microsoft Security TechCenter)
今回の脆弱性問題は、以下のCVE(Common Vulnerabilities and Exposures)番号で識別される、広範囲のIntelプロセッサと一部のAMD、Armプロセッサに存在する脆弱性です。
- CVE-2017-5753(Bounds check bypass)……Spectre(Variant 1)
- CVE-2017-5715(Branch target injection)……Spectre(Variant 2)
- CVE-2017-5754(Rogue data cache load)……Meltdown(Variant 3)
Microsoftは、2018年1月4日(日本時間)にこれらの脆弱性を“軽減する”緊急のセキュリティパッチを含む更新プログラムの提供を開始しました。Windows 10およびWindows Server 2016以降向けには「2018-01……累積更新プログラム」を、Windows 8.1およびWindows Server 2012 R2以前向けには「2018-01……セキュリティのみの更新プログラム」を(その後、同じセキュリティパッチを含む「2018-01……セキュリティマンスリー品質ロールアップ」としても提供されています)、一部を除くサポート対象のOSに対して提供しています。パッチの内容に関しては、以下のブログ記事で詳しく説明されています。
- Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems[英語](Microsoft Secure)
以下の表1に、2018年1月10日時点の更新プログラムで軽減される脆弱性をまとめました。32ビットOSについては、CVE-2017-5754への対策は未提供です。また、サポート対象OSですが、Windows Server 2008およびWindows Server 2012に対しては現状、この脆弱性に対するパッチは提供されていません。
CVE-2017-5753 (Variant 1−Spectre) |
CVE-2017-5715 (Variant 2−Spectre) |
CVE-2017-5754 (Variant 3−Meltdown) |
備考 | |
---|---|---|---|---|
Windows 7 SP1 | ○ | ○ | ○(64ビットOSのみ) | 未提供の32ビットOS向け軽減策は将来の更新で提供予定 |
Windows 8.1 | ○ | ○ | ○(64ビットOSのみ) | 未提供の32ビットOS向け軽減策は将来の更新で提供予定 |
Windows 10 バージョン1607以降(*1) | ○ | ○ | ○(64ビットOSのみ) | 未提供の32ビットOS向け軽減策は将来の更新で提供予定 |
Windows Server 2008 | × | × | × | 今回は軽減策の提供予定なし(別の方法を検討中) |
Windows Server 2008 R2 | ○ | ○(軽減策は既定で無効) | ○(軽減策は既定で無効) | 軽減策の有効化にはレジストリ設定が必要 |
Windows Server 2012 | × | × | × | 今回は軽減策の提供予定なし(別の方法を検討中) |
Windows Server 2012 R2 | ○ | ○(軽減策は既定で無効) | ○(軽減策は既定で無効) | 軽減策の有効化にはレジストリ設定が必要 |
Windows Server 2016(*2) | ○ | ○(軽減策は既定で無効) | ○(軽減策は既定で無効) | 軽減策の有効化にはレジストリ設定が必要 |
Windows Server バージョン1709(*2) | ○ | ○(軽減策は既定で無効) | ○(軽減策は既定で無効) | 軽減策の有効化にはレジストリ設定が必要 |
表1 プロダクトサポート対象のWindowsにおける、Spectre&Meltdown脆弱性のパッチ状況 |
(*1)ビルド番号16299.192(バージョン1709)、15063.850(バージョン1703)、14393.2007(バージョン1607、2016 LTSB)、10586.1356(バージョン1511)、10240.17738(2015 LTSB)でパッチ済みです。Windows 10 Enterprise 2015 LTSB(バージョン1507)、およびWindows 10 Enterprise/Educationバージョン1511にもパッチ提供あり。
(*2)Windows Server 2016はビルド番号14393.2007、Windows Server バージョン1709はビルド番号16299.192でパッチ済みです。
なお、緊急パッチは、定例の累積的な品質更新プログラムを“前倒し”して提供するものです。今後リリースされる累積的な品質更新プログラム(マンスリーセキュリティ品質ロールアップ)にも、同じ内容が含まれることになります。この脆弱性問題に対する軽減策は、パフォーマンスに影響する場合もありますが、この緊急パッチだけをスキップするということはできない点に注意してください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- プロセッサの脆弱性問題、Azureは対策済み、オンプレミスの対応策は?――Windows関連のまとめ
2018年の年明け早々、「Meltdown」や「Spectre」と呼ばれるプロセッサの脆弱性問題が公表され、IT業界全体でゼロデイ攻撃のリスクが高まっています。Microsoft AzureおよびMicrosoftのその他のクラウドサービスは、2018年1月4日時点で既に対策が完了しているとのことです。 - 今度はWindows 7のWindows Updateでトラブル──でも、解決策はあります!
2017年12月4日ごろから、Windows 7で「Windows Update」を実行できないというトラブルに遭遇しているユーザーが少なからずいるようです。Microsoftによる公式なアナウンスや回避策は今のところないようですが、取り急ぎ、問題を解消できる可能性がある方法を紹介します。 - 年の初めに再確認、2018年にサポートが終了するMicrosoft製品は?
Microsoftは同社の製品およびサービスについて、明確なサポートポリシー(ただし、途中で変更あり)に基づき、更新プログラムを含むサポートを提供しています。2018年は主に10年前にリリースされた製品がサポート終了を迎えます。どのような製品があるのか、年の初めに再確認し、使用していないかどうかを調べておきましょう。 - Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能(その2)
前回は、間もなく企業向け(半期チャネル)に配布が始まるWindows 10 Fall Creators Updateに搭載された新しいセキュリティ機能「Exploit Protection」を紹介しました。今回は、もう1つのセキュリティ機能「Windows Defender Application Guard(WDAG)」が提供する安全なWebブラウジング環境を紹介します。