現在、CPU の脆弱性(Meltdown/Spectre)に関連したお問い合わせを、多くいただいております。
弊社にいただいております良くあるお問い合わせや、公開情報についてまとめさせていただきました。本ページは今後も随時更新される予定です。
なお、本件につきましては以下の公開情報も合わせてご確認ください。
- ADV180002 Guidance to mitigate speculative execution side-channel vulnerabilities
- Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
- Windows Server guidance to protect against speculative execution side-channel vulnerabilities
- Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
- Important Windows security updates released January 3, 2018, and antivirus software
- Windows operating system security update block for some AMD based devices
- Protecting guest virtual machines from CVE-2017-5715 (branch target injection)
FAQ
[更新プログラムの検出について]
Q. QualityCompat のレジストリキーの用途は?
A. アンチウィルス アプリケーションが Windows のカーネルメモリに対してサポートされていない呼び出しを行う場合に発生する互換性の問題があり、この呼び出しの結果として、STOP エラー (ブルースクリーンとも呼ばれる) が発生し、デバイスが起動できない場合がございます。
このような互換性のないアンチウィルスアプリケーションによる問題を防ぐために、弊社では、2018 年 1 月 3 日にリリースいたしましたセキュリティ更新プログラムにつきましては、以下のレジストリを更新プログラムの検出条件としており、本レジストリの設定がない場合、Windows Update 及び WSUS による更新では当該の更新プログラムが検出されない仕組みとなっております。
キー:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionQualityCompat
名前:adca5fe-87d3-4b96-b7fb-a231484277cc
種類:REG_DWORD
値: 0x00000000
なお、本設定自体は CPU の脆弱性の問題に対する緩和策を含んでいる、今月の更新プログラムを Windows Update 及び WSUS にて検出するための設定であり、この設定自体が CPU の脆弱性の問題と直接の関係はありません。
Q. 手動で適用しますが、QualityCompat を設定する必要はありますか?
A. msuファイルを直接実行する場合、本レジストリの設定に関わらず、更新プログラムが適用されます。更新プログラムの適用前にウイルス対策アプリケーションが互換性を保持しているか、事前にお使いのウイルス対策プロバイダーに問い合わせの上、実施ください。
[更新プログラムの適用について]
Q. パッチ適用の前提条件
A. Windows 7 及び Windows Server 2008 R2では Service Pack 1 が適用されている必要があります。
Windows 8.1、Windows Server 2012 R2 及び Windows Server 2012 R2 Storage Serverでは KB2919355 が前提条件となります。
KB2919355 の適用にはさらに、KB2919442が前提となりますので、未適用の場合には、KB2919442を先にインストールください。
Windows 10 及び Windows Server 2016 には前提条件はございません。
Q. Windows Server 2008 と Windows Server 2012 ではどんな対策を取ったらいいの?
A. 1/10 11:00 時点では、Windows Server 2008 及びWindows Server 2012 のセキュリティパッチは引き続きリリースを検討中でございます。
以下、公開情報からの引用となりますが、リリースに関する情報のアップデートがあり次第ご連絡いたします。
Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス
----- 抜粋 -----
Q3: Windows Server 2008 および Windows Server 2012 プラットフォームで更新プログラムを入手できないのはなぜですか。 修正プログラムはいつ入手できる予定ですか。
A3: ソフトウェアの更新プログラムでハードウェアの脆弱性に対処することは非常に困難であり、古いオペレーティング システムに緩和策を提供するには大幅なアーキテクチャの変更が必要です。 マイクロソフトは影響を受けるチップの製造元との協力を継続し、緩和策を提供する最善の方法を調査しています。
----- 抜粋 -----
[緩和策の有効化について]
Q. クライアント OS については、パッチ適用のみで緩和策が有効化されますか?
A. はい、パッチ適用のみで緩和策が有効化されます。
Q. サーバ OS については、パッチ適用のみで緩和策が有効化されますか?
A. いいえ、FeatureSettingsOverride および FeatureSettingsOverrideMask のレジストリを有効化しない限り、緩和策が有効化されません。
Q. 更新プログラムを適用せずに、FeatureSettingsOverrideとFeatureSettingsOverrideMaskのレジストリの変更だけやって意味あるの?
A. 更新プログラムを適用しない場合上記レジストリの設定を実施いただく必要はございません。
Q. 更新プログラムの適用とレジストリ(FeatureSettingsOverrideとFeatureSettingsOverrideMask)の変更の順番はどっちが先でもいいの?
A. はい、どちらが先でも問題ありません。
Q. HyperVのホストとゲストへはどのように対応したらいいの?
A. Hyper-V 環境への対応策については、以下をご確認ください。
- 公開技術情報
Protecting guest virtual machines from CVE-2017-5715 (branch target injection)
https://docs.microsoft.com/ja-jp/virtualization/hyper-v-on-windows/CVE-2017-5715-and-hyper-v-vms
[システムへの影響について]
Q. 修正を適用後、パフォーマンスは低下しますか?
A. ご利用の環境によりましては、パフォーマンスの低下が発生する可能性がありますが、多くのコンシューマー デバイスでは影響はごくわずかです。具体的な影響内容はハードウェアの世代やチップ製造元の実装方法により異なります。実際の環境で発生するパフォーマンスの影響を評価し、必要に応じて調整いただくことを推奨いたします。