はじめに
2018 年 1 月以降、Surface チームは、投機的実行サイド チャネルに関する新しいクラスのハードウェアの脆弱性に対するファームウェアの更新プログラムを公開しています。 Surface チームは、お客様を攻撃するためにこれらの脆弱性が現在使用されていることを示す情報を入手していません。Surface チームは、Windows チームや業界パートナーと緊密に連携してお客様を保護します。 利用できるすべての保護を受けるには、ファームウェアと Windows システムの更新プログラムの両方が必要です。
概要
Surface チームは、Surface 製品にも影響を及ぼす新しい投機的実行サイド チャネル攻撃のバリアントを認識しています。 これらの脆弱性を緩和するには、オペレーティング システムの更新プログラムと、新しいマイクロコードを含んだ Surface UEFI 更新プログラムが必要です。 脆弱性と緩和策の詳細については、次のセキュリティ アドバイザリを参照してください。
マイクロソフトはパートナーと連携し、更新プログラムが品質要件を満たしていることを確認でき次第、次の Surface 製品の更新プログラムを提供しています。
-
Surface 3 - 2019 年 7 月 12 日、更新プログラム
-
Surface Pro 3 - 2019 年 7 月 12 日、更新プログラム
-
Surface Pro 4 - 2019 年 6 月 28 日、更新プログラム
-
Surface Book - 2019 年 6 月 28 日、更新プログラム
-
Surface Studio - 2019 年 7 月 12 日、更新プログラム
-
Surface Pro (第 5 世代) - 2019 年 6 月 28 日、更新プログラム
-
Surface Laptop - 2019 年 6 月 28 日、更新プログラム
-
Surface Book 2 - 2019 年 6 月 28 日、更新プログラム
-
Surface Pro 6 - 2019 年 6 月 28 日、更新プログラム
-
Surface Laptop 2 - 2019 年 6 月 28 日、更新プログラム
-
Surface Studio 2- 2019 年 8 月 1 日、更新プログラム
-
Surface GO WiFi
-
Surface GO LTE
UEFI 更新プログラムをインストールすると、新しいマイクロコードに加えて、“SMT (Simultaneous Multi-Threading)” と呼ばれる新しい UEFI 設定も使用できるようになります。 この設定により、ユーザーがハイパースレッディングを無効にすることができます。
注意事項
-
ハイパースレッディングを無効にする場合は、新しい SMT UEFI 設定を使用することをお勧めします。
-
SMT を無効にすると、これらの新しい脆弱性と以前に発表された L1 Terminal Fault 攻撃に対する追加の保護策になります。 ただし、この方法はデバイスのパフォーマンスにも影響を及ぼします。
-
Intel Core i5 を搭載した Surface 3 および Surface Studio には SMT がありません。 そのため、それらのデバイスにはこの新しい設定がありません。
-
Microsoft Surface Enterprise Management Mode (SEMM) の UEFI 構成ツール バージョン 2.43.139 以降は、新しい SMT 設定をサポートしています。 ツールはこの Web ページからダウンロードできます。 以下の必要なツールをダウンロードしてください。
-
SurfaceUEFI_Configurator_v2.43.139.0.msi
-
SurfaceUEFI_Manager_v2.43.139.0.msi
-
関連情報
Surface チームは、L1 Terminal Fault (L1TF) と呼ばれる新しい投機的実行サイドチャネル攻撃を認識しており、CVE-2018-3620 (OS および SMM) と CVE-2018-3646 (VMM) を割り当てました。 影響を受ける Surface 製品は、この資料の「“2018 年 5 月に発表された脆弱性”」セクションに記載されているものと同じです。 2018 年 5 月に見つかった脆弱性を緩和するマイクロコード更新プログラムで、L1TF (CVE-2018-3646) も緩和されます。 脆弱性と緩和策の詳細については、次のセキュリティ アドバイザリを参照してください。
このセキュリティ アドバイザリでは、Credential Guard や Device Guard などのセキュリティ機能を含む仮想化ベースのセキュリティ (VBS) を使用する場合、L1TF のリスクを完全に排除するためにハイパースレッディングを無効にすることを検討する必要があると提案しています。 現在は Surface デバイスでハイパースレッディングを無効にできません。 既定では、VBS 機能は Surface デバイスで無効になっています。 Surface チームはハイパースレッディングを無効にできる選択肢を調査しています。
関連情報
Surface チームは、Surface 製品にも影響を及ぼす新しい投機的実行サイド チャネル攻撃のバリアントを認識しました。 これらの脆弱性を緩和するには、新しいマイクロコードを使用する UEFI の更新プログラムが必要です。 脆弱性と緩和策の詳細については、次のセキュリティ アドバイザリを参照してください。
マイクロソフトはパートナーと連携し、更新プログラムが品質要件を満たしていることを確認でき次第、次の Surface 製品の更新プログラムを提供しています。
-
Surface Book 2 - 2018 年 8 月 2 日更新プログラム
-
Surface Book - 2018 年 8 月 22 日更新プログラム
-
Surface Laptop - 2018 年 7 月 26 日更新プログラム
-
Surface Studio - 2018 年 10 月 2 日更新プログラム
-
Surface Pro 4 - 2018 年 7 月 26 日更新プログラム
-
Surface Pro 3 - 2018 年 8 月 8 日更新プログラム
-
Surface Pro Model 1796 と Surface Pro Advanced LTE モデル 1807 - 2018 年 7 月 27 日更新プログラム
関連情報
Surface チームは、Intel、AMD、ARM など多くの最新のプロセッサやオペレーティング システムに影響を及ぼす投機的実行サイド チャネル (スペクターとメルトダウンと呼ばれます) に関する一般に公開されている脆弱性のクラスを認識しています。 脆弱性と緩和策の詳細については、次のセキュリティ アドバイザリを参照してください。
Microsoft セキュリティ アドバイザリ ADV180002
Windows ソフトウェアの更新プログラムの詳細については、次のサポート技術情報を参照してください。
-
4073757 スペクターとメルトダウンの脆弱性から Windows デバイスを保護する
-
4073119 投機的実行サイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス
2018 年 1 月 4 日の Windows オペレーティング システムのセキュリティ更新プログラムに加え、Surface は次のデバイスについて UEFI ファームウェアの更新プログラムを Windows Update とダウンロード センターを介して提供しています。
-
Surface Book 2 - (更新履歴)
-
Surface Book - (更新履歴)
-
Surface Laptop - (更新履歴)
-
Surface Studio - (更新履歴)
-
Surface Pro 4 - (更新履歴)
-
Surface Pro 3 - (更新履歴)
-
Surface 3 - (更新履歴)
-
Surface Pro Model 1796 と Surface Pro Advanced LTE モデル 1807 - (Windows Update の更新履歴)
これらの更新プログラムは、Windows 10 Creators Update (ビルド 15063) 以降のバージョンを実行しているデバイスで使用できます。
関連情報
詳細情報
Surface Hub は多層防御戦略を実装しています。 詳細については、Windows IT Pro Center Web サイトの次のトピックを参照してください。
Surface Hub と Windows 10 Enterprise の違い
そのため、マイクロソフトでは、Surface Hub でこれらの脆弱性が悪用される可能性は大幅に低くなると考えています。
Surface チームは、安全で信頼性の高いユーザー エクスペリエンスを提供することを重視しています。 マイクロソフトでは、これらの脆弱性に対処し、デバイスの信頼性とセキュリティを維持するために、今後もデバイスの監視と更新を続ける予定です。