|
日付の変更 |
説明を変更する |
|
2023 年 7 月 19 日 |
|
|
2023 年 8 月 8 日 |
|
|
2023 年 8 月 9 日 |
|
|
2024 年 4 月 9 日 |
|
|
2024 年 4 月 16 日 |
|
要約
この記事では、多くの最新のプロセッサやオペレーティング システムに影響を与える、シリコンベースのマイクロアーキテクチャと投機的なサイド チャネル攻撃の実行によるセキュリティの脆弱性の新しいクラスに関するガイダンスを提供します。 これには、Intel、AMD、ARM が含まれます。 これらのシリコンベースの脆弱性の具体的な詳細は、次の ADV (セキュリティ アドバイザリ) および CVE (共通脆弱性および露出) で確認できます。
-
ADV180013 | Microsoft Guidance for Rogue System Register Read (英語情報)
-
ADV220002 | Intel Processor MMIO の古くなったデータの脆弱性に関するマイクロソフト ガイダンス
重要: この問題は、Android、Chrome、iOS、macOS などの他のオペレーティング システムにも影響があります。 そのため、各ベンダーのガイダンスを参照することをお勧めします。
マイクロソフトでは、すでにこれらの脆弱性を軽減するのに役立つ更新プログラムをいくつかリリースしています。 また、マイクロソフトのクラウド サービスをセキュリティで保護するための措置も講じました。 詳細については、以下のセクションを参照してください。
マイクロソフトでは、これらの脆弱性がお客様への攻撃に使用されたことを示す情報をまだ受け取っていません。 マイクロソフトは、チップ メーカー、ハードウェア OEM、アプリケーション ベンダーなどの業界パートナーと引き続き緊密に協力し、お客様の保護に努めてまいります。 利用できるすべての保護を受けるには、ファームウェア (マイクロコード) とソフトウェアの更新プログラムが必要です。 これには、デバイス OEM のマイクロコードや、場合によっては、ウイルス対策ソフトウェア用の更新プログラムが含まれます。
この資料は次の脆弱性を解決します。
Windows Update では、Internet Explorer と Edge の緩和策も提供される予定です。 このクラスの脆弱性に対してこれらの緩和策を今後も改善を続ける予定です。
このクラスの脆弱性に関する詳細については、次を参照してください。
脆弱性
2019 年 5 月 15 日、Intel はマイクロアーキテクチャ データ サンプリング (Microarchitectural Data Sampling) と呼ばれる投機的実行サイド チャネルの脆弱性の新しいサブクラスに関する情報を公開しました。 これらの脆弱性は、次の CVE で対処されます。
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
重要: これらの問題は、Android、Chrome、iOS、macOS など、他のオペレーティング システムにも影響します。 これらの各ベンダーからのガイダンスを求めることをお勧めします。
マイクロソフトは、これらの脆弱性を緩和するために役立つ更新プログラムをリリースしました。 利用できるすべての保護を受けるには、ファームウェア (マイクロコード) とソフトウェアの更新プログラムが必要です。 これには、デバイス OEM のマイクロコードが含まれる場合があります。 場合によっては、これらの更新プログラムをインストールするとパフォーマンスが低下します。 また、マイクロソフトのクラウド サービスをセキュリティで保護する措置も講じました。 これらの更新プログラムを展開することを強くお勧めします。
この問題の詳細については、次のセキュリティ アドバイザリや使用シナリオベースのガイダンスを参照して、脅威を緩和するために必要な操作を判断してください。
注: マイクロコードの更新プログラムをインストールする前に、Windows Update から最新の更新プログラムをすべてインストールすることをお勧めします。
2019 年 8 月 7 日、Intel は Windows カーネルの情報漏えいの脆弱性について詳細情報をリリースしました。 この脆弱性は、スペクター バリアント 1 投機的実行サイド チャネルの脆弱性のバリアント (亜種) であり、CVE-2019-1125 が割り当てられました。
2019 年 7 月 10 日、この問題を緩和するために Windows オペレーティング システムのセキュリティ更新プログラムをリリースしました。 業界で調整された開示日である 2019 年 8 月 7 日水曜日まで、この緩和策に関する文書の公開は保留されていたことにご留意ください。
Windows Update を有効にし、2019 年 7 月 10 日にリリースされたセキュリティ更新プログラムを適用したお客様は自動的に保護されています。 さらに必要な構成はありません。
注: この脆弱性は、お使いのデバイス製造元 OEM からリリースされるマイクロコードの更新プログラムを必要としません。
この脆弱性と適用可能な更新プログラムの詳細については、マイクロソフト セキュリティ更新プログラム ガイドを参照してください。
2019 年 11 月 12 日、Intel は、CVE-2019-11135 が割り当てられた Intel Transactional Synchronization Extensions (Intel TSX) のトランザクションの非同期中止の脆弱性に関するテクニカル アドバイザリを公開しました。 マイクロソフトは、この脆弱性を緩和するために役立つ更新プログラムをリリースしました。 Windows クライアント OS エディションでは、OS の保護機能は既定で有効です。
2022 年 6 月 14 日、ADV220002 | Intel Processor MMIO の古くなったデータの脆弱性に関するマイクロソフト ガイダンスを公開しました。 これらの脆弱性は、次の CVE に割り当てられます。
推奨される操作
これらの脆弱性から保護するために、次の操作を実行することをお勧めします。
-
マンスリー Windows セキュリティ更新プログラムなど、利用できるすべての Windows オペレーティング システムの更新プログラムを適用します。
-
デバイスの製造元からリリースされている適用可能なファームウェア (マイクロコード) の更新プログラムを適用します。
-
マイクロソフト セキュリティ アドバイザリ ADV180002、ADV180012、ADV190013、および ADV220002 と、この記事に記載されている情報に基づいて、お客様の環境に対するリスクを評価してください。
-
この記事に記載されているアドバイザリとレジストリ キーの情報を参照し、必要に応じて対処してください。
注: Surface をご利用の場合は、Windows Update を介してマイクロコードの更新プログラムが提供されます。 Surface デバイスの最新のファームウェア (マイクロコード) 更新プログラムの一覧については、KB4073065 を参照してください。
2022 年 7 月 12 日に、CVE-2022-23825 | AMD CPU Branch Type Confusion を公開しました。分岐予測子のエイリアスにより、特定の AMD プロセッサが間違った分岐の種類を予測する可能性があることが説明されています。 この問題は、情報漏えいにつながる可能性があります。
この脆弱性から保護するには、2022 年 7 月以降の Windows 更新プログラムをインストールし、CVE-2022-23825 と、このナレッジ ベースの記事で提供されているレジストリ キー情報に応じて措置を講じることをお勧めします。
詳細については、AMD-SB-1037 セキュリティ情報を参照してください。
2023 年 8 月 8 日に、CVE-2023-20569 | AMD CPU Return Address Predictor (インセプションとも呼ばれます) を公開しました。攻撃者が制御するアドレスで投機的実行を引き起こす可能性のある新しい投機的サイド チャネル攻撃について説明しています。 この問題は特定の AMD プロセッサに影響し、情報漏えいにつながる可能性があります。
この脆弱性から保護するには、2023 年 8 月以降の Windows 更新プログラムをインストールし、CVE-2023-20569 と、このナレッジ ベースの記事で提供されているレジストリ キー情報に応じて措置を講じることをお勧めします。
詳細については、AMD-SB-7005 セキュリティ情報を参照してください。
2024 年 4 月 9 日に CVE-2022-0001 |Intel Branch History Injection が発行されました。これは、モード内 BTI の特定の形式であるブランチ履歴インジェクション (BHI) を記述します。 この脆弱性は、攻撃者がユーザー モードから保護モード (または VMX 非ルート/ゲスト モードからルート モード) に移行する前にブランチ履歴を操作する可能性がある場合に発生します。 この操作により、間接分岐予測子が間接分岐の特定の予測子エントリを選択する可能性があり、予測されたターゲットの開示ガジェットが一時的に実行されます。 これは、関連する分岐履歴に、以前のセキュリティ コンテキスト、特に他のプレディクター モードで行われた分岐が含まれている可能性があるため、可能である場合があります。
Windows クライアントの緩和策の設定
セキュリティ アドバイザリ (ADV) と CVE は、これらの脆弱性によるリスクに関する情報と、Windows クライアント システムの既定の軽減策の状態を特定するのに役立つ情報を提供します。 次の表は、CPU マイクロコードの要件と、Windows クライアントに対する緩和策の既定の状態をまとめたものです。
|
CVE |
CPU マイクロコード/ファームウェアが必要? |
緩和策の既定の状態 |
|---|---|---|
|
CVE-2017-5753 |
X |
既定で有効 (無効にするオプションはありません) 詳細については、ADV180002 を参照してください。 |
|
CVE-2017-5715 |
はい |
既定で有効。 その他の操作については、ADV180002 の FAQ 15 (AMD プロセッサ搭載システムの場合) または FAQ 20 (ARM プロセッサ搭載システムの場合) を参照してください。また、適用できるレジストリ キー設定については、このサポート技術情報を参照してください。 注 スペクター バリアント 2 (CVE-2017-5715) の軽減策が有効な場合、Windows 10 Version 1809 またはそれ以降を実行しているデバイスで "Retpoline" が既定で有効になります。 Retpoline の詳細については、ブログ記事「Mitigating Spectre variant 2 with Retpoline on Windows」のガイダンスに従ってください。 |
|
CVE-2017-5754 |
いいえ |
既定で有効 詳細については、ADV180002 を参照してください。 |
|
CVE-2018-3639 |
Intel: はい |
Intel と AMD: 既定では無効になっています。 詳細については ADV180012 を参照してください。また、適用できるレジストリ キーの設定については、このサポート技術情報の記事を参照してください。 ARM: 既定で有効になっています (無効にするオプションはありません)。 |
|
CVE-2019-11091 |
Intel: はい |
既定で有効。 詳細については ADV190013 を参照してください。また、適用できるレジストリー キーの設定については、この記事を参照してください。 |
|
CVE-2018-12126 |
Intel: はい |
既定で有効。 詳細については ADV190013 を参照してください。また、適用できるレジストリー キーの設定については、この記事を参照してください。 |
|
CVE-2018-12127 |
Intel: はい |
既定で有効。 詳細については ADV190013 を参照してください。また、適用できるレジストリー キーの設定については、この記事を参照してください。 |
|
CVE-2018-12130 |
Intel: はい |
既定で有効。 詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。 |
|
CVE-2019-11135 |
Intel: はい |
既定で有効。 詳細については、CVE-2019-11135 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。 |
|
CVE-2022-21123 (MMIO ADV220002 の一部) |
Intel: はい |
Windows 10 Version 1809 以降: 既定で有効になっています。 詳細については、CVE-2022-21123 を参照してください。また、適用できるレジストリ キーの設定については、この記事を参照してください。 |
|
CVE-2022-21125 (MMIO ADV220002 の一部) |
Intel: はい |
Windows 10 Version 1809 以降: 既定で有効になっています。 詳細については、CVE-2022-21125 を参照してください。 |
|
CVE-2022-21127 (MMIO ADV220002 の一部) |
Intel: はい |
Windows 10 Version 1809 以降: 既定で有効になっています。 詳細については、CVE-2022-21127 を参照してください。 |
|
CVE-2022-21166 (MMIO ADV220002 の一部) |
Intel: はい |
Windows 10 Version 1809 以降: 既定で有効になっています。 詳細については、CVE-2022-21166 を参照してください。 |
|
CVE-2022-23825 (AMD CPU ブランチの種類の混乱) |
AMD: いいえ |
詳細については、CVE-2022-23825 を参照してください。また、適用できるレジストリ キーの設定については、この記事を参照してください。 |
|
CVE-2023-20569
|
AMD: はい |
詳細については、CVE-2023-20569 を参照してください。また、適用できるレジストリ キーの設定については、この記事を参照してください。 |
|
Intel: いいえ |
既定で無効。 詳細については、CVE-2022-0001 を参照してください。また、適用できるレジストリ キーの設定については、この記事を参照してください。 |
注: 既定で無効な軽減策を有効にすると、デバイスのパフォーマンスに影響する可能性があります。 実際のパフォーマンスへの影響は、デバイスの特定のチップセットや実行中のワークロードなど、複数の要因によって変わります。
レジストリ設定
セキュリティ アドバイザリ (ADV) および CVE に記載されているとおり、既定で有効ではない軽減策を有効にするために、次のレジストリ情報を提供します。 さらに、Windows クライアントに該当する場合は軽減策を無効にしたいユーザー向けに、レジストリ キー設定も提供しています。
重要: このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、以下のマイクロソフト サポート技術情報を参照してください:
322756 Windows でレジストリをバックアップおよび復元する方法
重要: 既定で、スペクター バリアント 2 (CVE-2017-5715) の軽減策が有効な場合、Windows 10 Version 1809 デバイスで Retpoline が有効になります。 Windows 10 の最新バージョンで Retpoline を有効にすると、特に古いプロセッサ上でスペクター バリアント 2 対応の Windows 10 バージョン 1809 を実行しているデバイスのパフォーマンスが向上する可能性があります。
|
CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の既定の緩和策を有効にするには reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の緩和策を無効にするには reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 |
注: 3 の値は、"有効" と "無効" のどちらの設定の FeatureSettingsOverrideMask にも正しいです。 (レジストリ キーの詳細については、「FAQ」セクションを参照してください)。
|
CVE-2017-5715 (スペクター バリアント 2) の緩和策を 無効にするには : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 CVE-2017-5715 (スペクター バリアント 2) と CVE-2017-5754 (メルトダウン) の既定の緩和策を 有効にするには: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 |
AMD およびAMD CPU では、既定で CVE-2017-5715 のユーザーとカーネル間の保護機能は無効です。 CVE-2017-5715 に対する追加の保護機能を利用するには、この緩和策を有効にする必要があります。 詳細については、AMD プロセッサの場合は ADV180002 の FAQ #15 を、ARM プロセッサの場合は ADV180002 の FAQ #20 を参照してください。
|
AMD および ARM プロセッサ上で CVE 2017-5715 の他の保護機能と共にユーザーとカーネル間の保護機能を有効にする: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 |
|
CVE-2018-3639 (投機的ストア バイパス) の緩和策と、CVE-2017-5715 (スペクター バリアント 2) および CVE-2017-5754 (メルトダウン) の既定の緩和策を有効にするには: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 注: AMD プロセッサは CVE-2017-5754 (メルトダウン) に対して脆弱ではありません。 AMD プロセッサを搭載したシステムでは、AMD プロセッサ用の既定の CVE-2017-5715 の緩和策と CVE-2018-3639 の緩和策を有効にするためにこのレジストリ キーが使用されています。 CVE-2018-3639 (投機的ストア バイパス) の緩和策と、CVE-2017-5715 (スペクター バリアント 2) および CVE-2017-5754 (メルトダウン) の緩和策の両方を無効にするには: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 |
AMD プロセッサでは、既定で CVE-2017-5715 のユーザーとカーネル間の保護機能は無効です。 CVE-2017-5715 に対する追加の保護機能を利用するには、この緩和策を有効にする必要があります。 詳細については、ADV180002 の FAQ #15 を参照してください。
|
AMD プロセッサ上で CVE 2017-5715 に対する他の保護機能と CVE-2018-3639 (投機的ストア バイパス) に対する保護機能と共にユーザーとカーネル間の保護機能を有効にする: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 |
|
ハイパースレッディングを無効にせずに、投機的ストア バイパスの無効化 (SSBD) (CVE-2018-3639) と L1 Terminal Fault (L1TF) (CVE-2018-3615、CVE-2018-3620、CVE-2018-3646) を含むスペクター (CVE-2017-5753 と CVE-2017-5715) およびメルトダウン (CVE-2017-5754) のバリアントと共に、Intel Transactional Synchronization Extensions (Intel TSX) のトランザクション非同期中止の脆弱性 (CVE-2019-11135) およびマイクロアーキテクチャ データ サンプリング (CVE-2019-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) の軽減策を有効にするには: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。 reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。 変更を有効にするために、デバイスを再起動します。 ハイパースレッディングを無効にして、投機的ストア バイパスの無効化 (SSBD) (CVE-2018-3639) と L1 Terminal Fault (L1TF) (CVE-2018-3615、CVE-2018-3620、CVE-2018-3646) を含むスペクター (CVE-2017-5753、CVE-2017-5715) およびメルトダウン (CVE-2017-5754) のバリアントと共に、Intel Transactional Synchronization Extensions (Intel TSX) のトランザクション非同期中止の脆弱性 (CVE-2019-11135) およびマイクロアーキテクチャ データ サンプリング (CVE-2019-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130) の軽減策を有効にするには: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。 reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。 変更を有効にするために、デバイスを再起動します。 投機的ストア バイパスの無効化 (SSBD) (CVE-2018-3639) と L1 Terminal Fault (L1TF) (CVE-2018-3615、CVE-2018-3620、CVE-2018-3646) を含むスペクター (CVE-2017-5753、CVE-2017-5715) およびメルトダウン (CVE-2017-5754) のバリアントと共に、Intel® Transactional Synchronization Extensions (Intel® TSX) のトランザクション非同期中止の脆弱性 (CVE-2019-11135) およびマイクロアーキテクチャ データ サンプリング (CVE-2019-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130) の緩和策を無効にするには: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 変更を有効にするために、デバイスを再起動します。 |
AMD プロセッサで CVE-2022-23825 の軽減策を有効にするには :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
完全に保護するには、ハイパースレッディング (同時マルチスレッド (SMT) とも呼ばれます) を無効にする必要がある場合もあります。 Windows デバイスの保護に関するガイダンスについては、KB4073757 を参照してください。
AMD プロセッサで CVE-2023-20569 の軽減策を有効にするには:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Intel プロセッサで CVE-2022-0001 の軽減策を有効にするには:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
複数の軽減策を有効にする
複数の軽減策を有効にするには、各軽減策の REG_DWORD 値をまとめて追加する必要があります。
次に例を示します。
|
トランザクションの非同期アボート脆弱性、マイクロアーキテクチャのデータサンプリング、スペクター、メルトダウン、MMIO、投機的ストアのバイパス無効化 (SSBD)、ハイパースレッディングを無効にした場合の L1 Terminal Fault(L1TF) に対する緩和策 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
注 8264 (10 進数) = 0x2048 (16 進数) 他の既存の設定と共に BHI を有効にするには、現在の値と 8,388,608 (0x800000) のビット単位の OR を使用する必要があります。 0x800000 と 0x2048 (10 進数で 8264) の OR を取ると、8,396,872 (0x802048) になります。 FeatureSettingsOverrideMask と同じです。 |
|
|
Intel プロセッサで CVE-2022-0001 の軽減策 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
統合された軽減策 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
トランザクションの非同期アボート脆弱性、マイクロアーキテクチャのデータサンプリング、スペクター、メルトダウン、MMIO、投機的ストアのバイパス無効化 (SSBD)、ハイパースレッディングを無効にした場合の L1 Terminal Fault(L1TF) に対する緩和策 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
Intel プロセッサで CVE-2022-0001 の軽減策 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
統合された軽減策 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
保護が有効になっていることを確認する
保護が有効な状態であることを確認できるようにするために、デバイスで実行できる PowerShell スクリプトを公開しました。 次のいずれかの方法を使用して、スクリプトをインストールして実行します。
|
PowerShell モジュールをインストールする: PS> Install-Module SpeculationControl 保護が有効であることを確認する PowerShell モジュールを実行します。 PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Technet ScriptCenter から PowerShell モジュールをインストールします。 https://aka.ms/SpeculationControlPS に移動 SpeculationControl.zip をローカル フォルダーにダウンロードします。 内容をローカル フォルダー (C:\ADV180002 など) に抽出します 保護が有効であることを確認する PowerShell モジュールを実行します。 PowerShell を起動し、(上記の例を使用して) 次のコマンドをコピーして実行します。 PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell スクリプトの出力の詳細な説明については、KB4074629 を参照してください。
よく寄せられる質問
マイクロコードはファームウェアの更新プログラムを介して配布されます。 特定のデバイスに適用されるファームウェアのセキュリティ更新プログラムの提供については、Intel の「Microcode Revision Guidance」(英語情報) など、CPU (チップセット) およびデバイスの製造元にお問い合わせください。
ソフトウェアの更新プログラムでハードウェアの脆弱性に対処することは非常に困難です。 また、古いオペレーティング システムに緩和策を提供するには大幅なアーキテクチャの変更が必要です。 マイクロソフトは影響を受けるチップの製造元と協力し、緩和策を提供する最善の方法を調査しており、今後の更新プログラムで提供できる可能性があります。
Microsoft Surface デバイス用の更新プログラムは、Windows Update を介して Windows オペレーティング システムの更新プログラムと共に提供される予定です。 入手可能な Surface デバイスのファームウェア (マイクロコード) 更新プログラムの一覧については、KB4073065 を参照してください。
Microsoft 製のデバイスではない場合は、デバイスの製造元から提供されるファームウェアを適用してください。 詳細については、OEM デバイスの製造元にお問い合わせください。
2018 年 2 月と 3 月に、マイクロソフトは一部の x86 ベース システム用に追加の保護をリリースしました。 詳細については、KB4073757、および 「マイクロソフト セキュリティ アドバイザリ ADV180002」を参照してください。
Windows 10 for HoloLens の更新プログラムは、Windows Update から HoloLens のお客様に提供されます。
2018 年 2 月の Windows セキュリティ更新プログラムを適用した後、HoloLens のお客様はお使いのデバイスのファームウェアを更新するため、さらに操作を実行する必要があります。 これらの緩和策は、Windows 10 for HoloLens の今後すべてのリリースにも含まれる予定です。
いいえ。 セキュリティのみの更新プログラムは累積的ではありません。 実行しているオペレーティング システムのバージョンによっては、これらの脆弱性から保護するためにすべての月のセキュリティのみの更新プログラムをインストールする必要があります。 たとえば、影響を受ける Intel CPU 上で Windows 7 for 32-bit Systems を実行している場合は、すべてのセキュリティのみの更新プログラムをインストールする必要があります。 これらのセキュリティのみの更新プログラムは、リリース順にインストールすることをお勧めします。
注 この FAQ の以前のバージョンでは、2 月のセキュリティのみの更新プログラムには 1 月にリリースされたセキュリティ修正プログラムが含まれている、と誤って記載されていました。 実際は含まれていません。
いいえ。 セキュリティ更新プログラム 4078130 は、マイクロコードのインストール後に発生する予期しないシステムの動作、パフォーマンスの問題、予期しない再起動を防ぐことを目的とした修正プログラムでした。 Windows クライアント オペレーティング システムに 2 月のセキュリティ更新プログラムを適用すると、3 つの緩和策がすべて有効になります。
この問題は KB4093118 で解決されています。
AMD の 最近の発表 によると、スペクター バリアント 2 (CVE-2017-5715「ブランチ ターゲット インジェクション」) を中心に新しい CPU プラットフォームのマイクロコードがリリースされました。 詳細については、「AMD Security Updates」(英語情報) と「AMD Architecture Guidelines around Indirect Branch Control」(英語情報)を参照してください。 これらは OEM ファームウェア チャネルから入手できます。
マイクロソフトでは、スペクター バリアント 2 (CVE-2017-5715 “ブランチ ターゲット インジェクション”) に対して、Intel が検証済みのマイクロコードの更新プログラムを提供しています。 Windows Update から最新の Intel 製マイクロコードの更新プログラムを入手するには、Windows 10 2018 年 4 月更新プログラム (バージョン 1803) にアップグレードする前に、Windows 10 オペレーティング システムを実行しているデバイスに Intel 製マイクロコードをインストールしておく必要があります。
OS のアップグレード前にデバイスにインストールされていなかった場合は、マイクロコードの更新プログラムをカタログから直接入手することもできます。 Intel 製マイクロコードは、Windows Update、WSUS、または Microsoft Update カタログを介して入手できます。 詳しい情報とダウンロードの手順については、KB4100347 をご覧ください。
詳細については、以下の資料を参照してください。
詳細については、「ADV180012 | 投機的ストア バイパスに関するマイクロソフト ガイダンス」の「推奨される操作」と「FAQ」を参照してください。“”“”
SSBD の状態を確認するために、影響を受けるプロセッサ、SSBD のオペレーティング システムの更新プログラムの状態、プロセッサ マイクロコードの状態 (該当する場合) を検出できるように Get-SpeculationControlSettings PowerShell スクリプトが更新されています。 PowerShell スクリプトの詳細と入手については、KB4074629 を参照してください。
2018 年 6 月 13 日、Lazy FP State Restore として知られる、サイドチャネル投機的実行に関係する新たな脆弱性が発表され、CVE-2018-3665 が割り当てられました。 Lazy Restore FP Restore に必要な構成 (レジストリ) 設定はありません。
この脆弱性と推奨される操作の詳細については、セキュリティ アドバイザリ「ADV180016 | Lazy FP State Restore に関するマイクロソフト ガイダンス」を参照してください。
注: Lazy Restore FP Restore に必要な構成 (レジストリ) 設定はありません。
Bounds Check Bypass Store (BCBS) は 2018 年 7 月 11 日に公開され、CVE-2018-3693 が割り当てられました。 マイクロソフトでは、BCBS は Bounds Check Bypass (バリアント 1) と同じ脆弱性クラスに属すると考えています。 マイクロソフトのソフトウェアにおける BCBS インスタンスは現在認識されていませんが、マイクロソフトこの脆弱性クラスを引き続き調査しており、必要に応じて業界のパートナーと協力して緩和策をリリースします。 研究者の皆様には、利用可能な BCBS インスタンスを含む、関連する調査結果をマイクロソフトの 投機的実行のサイドチャネルに関する報奨金プログラム に提出いただけますよう引き続きよろしくお願いいたします。 ソフトウェア開発者は https://aka.ms/sescdevguide で BCBS 用に更新された開発者ガイダンスを確認することをお勧めします。
2018 年 8 月 14 日、L1 Terminal Fault (L1TF) が発表され、複数の CVE が割り当てられました。 これらの投機的実行のサイドチャネルの脆弱性が悪用されると、信頼される境界全体のメモリの内容を読み取られる可能性があり、悪用された場合、情報漏えいにつながる可能性があります。 構成されている環境によっては、攻撃者がこれらの脆弱性をトリガーすることができる攻撃対象が複数存在します。 L1TF は Intel® Core® プロセッサと Intel® Xeon® プロセッサに影響を及ぼします。
この脆弱性の緩和に対するマイクロソフトのアプローチを含む、L1TF と影響を受けるシナリオの詳細ビューに関する詳細については、次のリソースを参照してください。
64 ビット ARM プロセッサをご利用の場合は、変更を有効にするために、CVE-2017-5715 | ブランチ ターゲット インジェクション (スペクター バリアント 2) を緩和する ARM64 オペレーティング システムの保護機能はデバイス OEM の最新のファームウェア更新プログラムを必要とするため、ファームウェアのサポートについてデバイス OEM に確認する必要があります。
詳細については、次のセキュリティ アドバイザリを参照してください。
詳細については、次のセキュリティ アドバイザリを参照してください。
詳細なガイダンスについては、「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください
Azure ガイダンスについては、この記事「Azure での投機的実行のサイドチャネルの脆弱性を軽減するためのガイダンス」を参照してください。
Retpoline の有効化の詳細については、マイクロソフトのブログ記事「Mitigating Spectre variant 2 with Retpoline on Windows (英語情報)」 を参照してください。
この脆弱性の詳細については、Microsoft セキュリティ ガイド「CVE-2019-1125 | Windows カーネル情報漏えいの脆弱性」を参照してください。
この情報漏えいの脆弱性が Microsoft のクラウド サービス インフラストラクチャに影響を与えている事例は把握していません。
マイクロソフトではこの問題を認識してすぐに、問題を迅速に解決して更新プログラムをリリースすることに取り組みました。 マイクロソフトは、お客様をより確実に保護するために、調査会社と業界パートナー双方との密接なパートナーシップを固く信頼しており、脆弱性の開示方法の取り決めに従って 8 月 7 日水曜日まで詳細を公表していませんでした。
詳細なガイダンスについては、「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください。
詳細なガイダンスについては、「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください。
その他のガイダンスについては、「Guidance for disabling Intel® Transactional Synchronization Extensions (Intel® TSX) capability」(英語情報) を参照してください。
参考文献
Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。
