検索
連載

緊急パッチだけではプロセッサ脆弱性対策は不十分――Spectre&Meltdown対策状況を再チェック山市良のうぃんどうず日記(117:緊急特別編)(3/4 ページ)

2018年早々、プロセッサに影響する脆弱性が公表されました。そして、Microsoftは1月の定例日(1月10日)を待たずにこの脆弱性を軽減する緊急のセキュリティパッチを含む更新プログラムの提供を開始しました。この緊急パッチをインストールしたことで安心してはいませんか。今回の問題は、OSのパッチだけでは不十分です。

[山市良,テクニカルライター] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

重要なのはプロセッサハードウェア側の対策

 CVE-2017-5715に対する軽減策は、プロセッサのマイクロコードの更新と併せて初めて機能します。マイクロコードの更新は、PCベンダーから提供されます。Microsoft Surfaceでない限り、マイクロコードの更新がWindows Updateを通じて提供されることはありません。

 Windows 10 バージョン1703以降を実行するMicrosoft Surfaceについては、MicrosoftからWindows Updateを通じてファームウェアの更新が提供される予定です。

 それ以外のPCの場合、Windows Updateを通じてマイクロコードが配布されることはないはずです。BIOS/ファームウェアの更新の提供方法や更新方法は、各PCベンダーに依存します(画面3)。以下のサポート技術情報に、各社のサイトへのリンクがあります。

画面3
画面3 画面1のDellのPCは購入したばかりで、Dellが提供するドライバの検出&インストールツールで対策が完了した(2017年12月リリースのBIOSで)

 古いPCの場合は、今回の脆弱性に対応したマイクロコードが提供されない可能性があります。筆者所有の物理PCのうち、対策済み(ファームウェア提供済み)となったのはDellのPC1台だけです。それ以外のPCおよびサーバは、モデルが古すぎるため、更新の提供は期待できないでしょう。対策されたBIOS/ファームウェアの更新が提供されない場合でも、マルウェア対策ソフトが攻撃をブロックしてくれると期待できるので、あまり悲観する必要はないと思います(これは筆者の個人的な意見です。未対策だからといって、PCを新たに買い替える余裕はありません)。

緊急パッチがWindows Updateで検出されない場合は?

 本稿執筆時点(2018年1月10日)、一部のシステムではWindows Updateで今回の緊急パッチが検出されない場合があります。筆者が知る限り、次の3つのいずれかの場合です。今後の累積的な品質更新プログラムのインストールにも関係するため(今後の累積的な更新にも含まれる内容であるため)、これらに該当する場合は、最新情報をチェックしてしかるべき対策をとる必要があります。

  • 一部のAMDプロセッサを搭載したシステムである
  • ウイルス対策ソフトが対応していない
  • ウイルス対策ソフトが存在しない

●AMDプロセッサ搭載システムの問題

 一部のAMDプロセッサを搭載したシステムでは、緊急パッチをインストールすると正常に起動しなくなるという問題も報告されており、影響を受けるシステムに対する提供の停止措置が行われています。

 Windows 8.1、Windows Server 2012 R2、Windows 7 Service Pack1(SP1)、Windows Server 2008 R2 SP1については、この問題を修正する更新プログラムが「Microsoft Update Catalog」で提供されています。

●ウイルス対策ソフトに関連する問題

 一部のウイルス対策製品では互換性問題が発生し、緊急パッチをインストールするとブルースクリーン(Blue Screen of Death:BSoD)で正常に起動しなくなります。そのため、今回の緊急パッチの要件として、マルウェア対策製品が対応済みであることを示すレジストリ(ウイルス対策製品が作成)のチェックが行われ、未対応であれば緊急パッチは配布されません。

 Windows 8.1以降およびWindows Server 2016以降の「Windows Defender」や、「Microsoft Security Essentials」を使用しているWindows 7、サポート対象のマイクロソフトウイルス対策製品(System Center Endpoint Protectionなど)は、最新状態に更新すれば、必要なレジストリが作成されるはずです。その他のウイルス対策製品を使用している場合は、各ベンダーのWebサイトなどで対応状況を確認し、追加的な手順が指示されていればそれに従ってください。

 長期間停止していた物理/仮想マシンを更新のために起動した場合、最初のWindows Updateでは今回の緊急パッチが検出されないかもしれません。ウイルス対策の定義やエンジンを最新に更新してから、もう一度、Windows Updateを実行してみてください。

 ウイルス対策製品がインストールされていないWindows 7やWindows Server 2008 R2/2012 R2の場合、あるいはWindows Server 2016以降で組み込みのWindows Defenderを削除し、代替のウイルス対策製品を導入していない場合、ウイルス対策製品が作成するレジストリを手動で作成してあげないと、緊急パッチが検出されないので注意してください。

 必要なレジストリを手動で作成するには、コマンドプロンプトを管理者として実行し、以下のコマンドラインを実行します。その後、Windows Updateを実行すれば、緊急パッチが検出されるはずです(画面4)。

C:\Windows\System32> REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f

画面4
画面4 マルウェア対策製品が導入されていない場合、Windows Updateで緊急パッチを検出するために、マルウェア対策製品が作成するレジストリを手動で作成する必要がある(画面はWindows Server 2012 R2)

 Windows 8.1やWindows 10では、ウイルス対策製品が導入されていなければ、組み込みのWindows Defenderが自動的に「有効」になります。Windows 7では何かしらウイルス対策製品を導入しない限り、「ウイルス対策なし」という状況になります(決して推奨されるものではありません)。

 ちなみに、Windows 7に組み込まれているWindows Defenderは、スパイウェア対策専用ツールであり、ウイルス対策製品には該当しません。信頼できないコードを実行する機会が少ないWindows Serverの場合は、ウイルス対策なしという状況はあり得る状況だと思います。上記のレジストリは、今後リリースされる更新プログラムにも影響するかどうかは現時点では分かりませんが、注意してください。

最新情報(2018年1月18日追記)

 AMDプロセッサで発生する問題に対処した更新プログラムが提供されました。Windows 10 バージョン1607とWindows Server 2016、Windows 10 バージョン1703向けには、問題への対処を含む新しい累積的な品質更新プログラムとして配布されています(それぞれ「KB4057142」「KB4057144」)。

 どちらも、ウイルス対策ソフト対応済みのレジストリ設定がないと配布されないことに注意してください。「KB4057142」は資格情報ガード(Credential Guard)に関して既知の問題があることにも注意してください。Windows 10 バージョン1709はMicrosoft Update Catalogからダウンロードする必要があります。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ
ページトップに戻る