KB4073757: シリコンベースのマイクロアーキテクチャ的な、および投機的実行に関するサイド チャネルの脆弱性から、Windows デバイスを保護する

日付の変更	説明を変更する
2023 年 8 月 9 日	CVE 番号が使用されていないため、CVE-2022-23816 に関するコンテンツを削除しました 「Windows デバイスの保護に役立つ手順」セクションの「Intel マイクロコード更新プログラム」というタイトルの重複するトピックを削除しました
2024 年 4 月 9 日	CVE-2022-0001 を追加しました | Intel Branch History Injection

これらの脆弱性に対応するには、ファームウェア (マイクロコード) とソフトウェアの両方を更新する必要があります。 推奨される操作に関しては、マイクロソフト セキュリティ アドバイザリを参照してください。 これには、デバイスの製造元からの該当するファームウェア (マイクロコード) の更新プログラムが含まれ、場合によってはウイルス対策ソフトウェアの更新プログラムも含まれます。 毎月のセキュリティ更新プログラムをインストールすることによって、デバイスを最新の状態に維持することをお勧めします。 

利用できるすべての保護を受けるには、次の手順でソフトウェアとハードウェアの最新の更新プログラムを入手してください。

1. 自動更新を有効にして、Windows デバイスを最新の状態に保ちます。

2. マイクロソフトからリリースされた最新の Windows オペレーティング システムのセキュリティ更新プログラムがインストールされていることを確認します。 自動更新が有効な場合は、更新プログラムが自動的に配信されます。 ただし、更新プログラムがインストールされていることを確認することをお勧めします。 手順については、「Windows Update: FAQ」をご覧ください

3. デバイスの製造元からリリースされているファームウェア (マイクロコード) の更新プログラムをインストールします。 いずれの場合も、デバイス固有のハードウェア更新プログラムをダウンロードしてインストールする方法については、デバイスの製造元に確認する必要があります。 デバイスの製造元の Web サイト一覧については、「その他のリソース」セクションを参照してください。

   注: 利用できる保護を受けるには、マイクロソフトからリリースされた最新の Windows オペレーティング システム用セキュリティ更新プログラムをインストールする必要があります。 まずウイルス対策ソフトウェアの更新プログラムをインストールする必要があります。 その後で、オペレーティング システムとファームウェアの更新プログラムをインストールする必要があります。 毎月のセキュリティ更新プログラムをインストールすることによって、デバイスを最新の状態に維持することをお勧めします。 

影響を受けるチップには、Intel 製、AMD 製、および ARM 製が含まれています。 つまり、Windows オペレーティング システムを実行するすべてのデバイスが脆弱な可能性があります。 たとえば、デスクトップ、ラップトップ、クラウド サーバー、スマートフォンなどです。 Android、Chrome、iOS、macOS など、他のオペレーティング システムを実行しているデバイスにも影響があります。 これらのオペレーティング システムを実行しているお客様は、これらの各ベンダーのガイダンスを参照することをお勧めします。

この資料の公開時点において、お客様を攻撃する目的でこれらの脆弱性が使用されたことを示す情報を得ていません。

マイクロソフトは、これらの脆弱性を緩和し、お客様を保護するために、2018 年 1 月から Windows オペレーティング システム、Internet Explorer、および Edge Web ブラウザー用の更新プログラムをリリースしました。 また、マイクロソフトのクラウド サービスをセキュリティで保護するための更新プログラムもリリースしました。  マイクロソフトは、このクラスの脆弱性からお客様を保護するために、チップの製造元、ハードウェア OEM、アプリ ベンダーなどの業界のパートナーと密接な協力を続けています。 

マンスリー更新プログラムを常にインストールして、デバイスを最新かつ安全な状態に保つことをお勧めします。 

新しい緩和策を利用できるようになった場合はこのドキュメントを更新する予定です。そのため、このドキュメントを定期的に確認することをお勧めします。 

2019 年 7 月 Windows オペレーティング システムの更新プログラム

2019 年 8 月 7 日、Intel はセキュリティの脆弱性 CVE-2019-1125 | Windows カーネルの情報漏えいの脆弱性の詳細を開示しました。 この脆弱性を解決するセキュリティ更新プログラムは、2019 年 7 月 10 日にリリースされた 7 月のマンスリー更新プログラムの一部としてリリースされました。

2019 年 7 月 10 日、マイクロソフトはこの問題を緩和するために Windows オペレーティング システムのセキュリティ更新プログラムをリリースしました。 業界で調整された開示日である 2019 年 8 月 7 日水曜日まで、この緩和策に関する文書の公開は保留されていました。

Windows Update を有効にし、2019 年 7 月 10 日にリリースされたセキュリティ更新プログラムを適用したお客様は自動的に保護されています。 この脆弱性は、お使いのデバイス製造元 OEM からリリースされるマイクロコードの更新プログラムを必要としないことに注意してください。

2019 年 5 月 Windows オペレーティング システムの更新プログラム

2019 年 5 月 15 日、Intel はマイクロアーキテクチャ データ サンプリング (Microarchitectural Data Sampling) と呼ばれる投機的実行サイド チャネルの脆弱性の新しいサブクラスに関する情報を公開しました。これらの脆弱性には、次の CVE が割り当てられました。

• CVE-2018-11091 - "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"

• CVE-2018-12126 | "Microarchitectural Store Buffer Data Sampling (MSBDS)"

• CVE-2018-12127 – "マイクロアーキテクチャフィルバッファーデータサンプリング (MFBDS)"

• CVE-2018-12130 – "マイクロアーキテクチャのロード ポート データ サンプリング (MLPDS)"

この問題の詳細については、次のセキュリティ アドバイザリや、Windows クライアントおよびサーバー向けガイダンスに記載されている使用シナリオベースのガイダンスを参照して、脅威を緩和するために必要な操作を判断してください。

• ADV190013 | マイクロアーキテクチャ データ サンプリングの脆弱性を軽減するための Microsoft ガイダンス

• KB 4073119 | Windows クライアント を投機的実行サイド チャネルの脆弱性から保護するための IT プロフェッショナル向けガイダンス

• KB 4457951 | Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス

Microsoft は、64 ビット (x64) 版の Windows におけるマイクロアーキテクチャ データ サンプリング (Microarchitectural Data Sampling) と呼ばれる投機的実行サイド チャネル脆弱性の新しいサブクラス (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) に対する保護をリリースしました。

Windows クライアント (KB4073119) および Windows Server (KB4457951) 向けサポート技術情報に記載されているレジストリ設定を使用してください。 Windows クライアント OS エディションと Windows Server OS エディションでは、これらのレジストリ設定は既定で有効です。

マイクロコードの更新プログラムをインストールする前に、Windows Update から最新の更新プログラムをすべてインストールすることをお勧めします。

この問題と推奨される操作に関する詳細については、次のセキュリティ アドバイザリを参照してください。 

• ADV190013 | マイクロアーキテクチャ データ サンプリングの脆弱性を軽減するための Microsoft ガイダンス

Intel では、最近の CPU プラットフォーム向けに、CVE-2018-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130 を緩和するためのマイクロコード更新プログラムをリリースしました。 2019 年 5 月 14 日の Windows KB 4093836 には、Windows OS バージョン別のサポート技術情報一覧が記載されています。  サポート技術情報には、リリースされている Intel 製マイクロコードの更新プログラムも CPU 別に記載されています。 これらの更新プログラムは、Microsoft カタログから入手できます。

注: マイクロコードの更新プログラムをインストールする前に、Windows Update から最新の更新プログラムをすべてインストールすることをお勧めします。

スペクター バリアント 2 (CVE-2017-5715) が有効になっている場合は Windows 10 Version 1809 デバイス (クライアントおよびサーバー用) で Retpoline が既定で有効になります。 2019 年 5 月 14 日の更新プログラム (KB 4494441) を通じて Windows 10 の最新バージョンで Retpoline を有効にすると、特に古いプロセッサ上でパフォーマンスの向上が期待されます。

Windows クライアントと Windows Server 向けガイダンスに記載されているレジストリ設定を使用してスペクター バリアント 2 の脆弱性に対する以前の OS の保護機能が有効になっていることを確認する必要があります。 (これらのレジストリ設定は、Windows クライアント OS エディションでは既定で有効ですが、Windows Server OS エディションでは既定で無効です)。 "Retpoline" の詳細については、Mitigating Spectre variant 2 with Retpoline on Windows (英語情報) を参照してください。

2018 年 11 月 Windows オペレーティング システムの更新プログラム

Microsoft は、投機的ストア バイパス (CVE-2018-3639) に対する AMD プロセッサ (CPU) 用のオペレーティング システム保護機能をリリースしました。

マイクロソフトは、64 ビット ARM プロセッサをご利用のお客様のために、追加のオペレーティング システムの保護機能をリリースしました。 CVE-2018-3639 投機的ストア バイパスを緩和する ARM64 オペレーティング システムの保護機能にはデバイス OEM の最新のファームウェア更新プログラムが必要なので、ファームウェアのサポートについてデバイス OEM 製造元に確認してください。

2018 年 9 月 Windows オペレーティング システムの更新プログラム

2018 年 9 月 12 日、マイクロソフトは、Intel® Core® プロセッサと Intel® Xeon® プロセッサ (CVE-2018-3620 および CVE-2018-3646) に影響を及ぼす、L1 Terminal Fault (L1TF) として知られる新しい投機的実行サイドチャネルの脆弱性に対する保護を提供する Windows Server 2008 SP2 向けマンスリー ロールアップ 4458010 と Windows Server 2008 向けセキュリティのみの更新プログラム 4457984 をリリースしました。 

このリリースで、Windows Update を介したサポートされるすべての Windows システム バージョンの追加の保護が完了します。 詳細と影響を受ける製品の一覧については、ADV180018 | L1TF バリアントのリスクを軽減するための Microsoft ガイダンスを参照してください。

注: Windows Server 2008 SP2 は標準の Windows サービス ロールアップ モデルでの提供に変更しています。 これらの変更に関する詳細については、弊社ブログの Windows Server 2008 SP2 のサービス変更を確認してください。 Windows Server 2008 SP2 をご利用の場合、2018 年 8 月 15 日にリリースされたセキュリティ更新プログラム 4341832 だけでなく、4458010 または 4457984 をインストールする必要があります。 Windows クライアントと Windows Server 向けガイダンスのサポート技術情報に記載されているレジストリ設定を使用してスペクター バリアント 2 およびメルトダウンの脆弱性に対する以前の OS の保護機能が有効になっていることを確認する必要があります。 Windows クライアント OS エディションでは、これらのレジストリ設定は既定で有効ですが、Windows Server OS エディションでは既定で無効です。

マイクロソフトは、64 ビット ARM プロセッサをご利用のお客様のために、追加のオペレーティング システムの保護機能をリリースしました。 変更を有効にするために、CVE-2017-5715 - ブランチ ターゲット インジェクション (スペクター バリアント 2) を緩和する ARM64 オペレーティング システムの保護機能はデバイス OEM の最新のファームウェア更新プログラムを必要とするため、ファームウェアのサポートについてデバイス OEM 製造元に確認してください。

2018 年 8 月 Windows オペレーティング システムの更新プログラム

2018 年 8 月 14 日、L1 Terminal Fault (L1TF) が発表され、複数の CVE が割り当てられました。 これらの投機的実行のサイドチャネルの脆弱性が悪用されると、信頼される境界全体のメモリの内容を読み取られる可能性があり、悪用された場合、情報漏えいにつながる可能性があります。 構成されている環境によっては、攻撃者がこれらの脆弱性をトリガーすることができるベクトルが複数存在します。 L1TF は Intel® Core® プロセッサと Intel® Xeon® プロセッサに影響を及ぼします。

L1TF の緩和に対するマイクロソフトのアプローチを含む、L1TF と影響を受けるシナリオの詳細ビューに関する詳細については、次のリソースを参照してください。’

• ADV180018 | L1TF バリアントのリスクを軽減するためのマイクロソフト ガイダンス

• セキュリティ アドバイザリのセキュリティ調査ブログ

• L1 Terminal Fault に関するサーバー ガイダンス

2018 年 7 月 Windows オペレーティング システムの更新プログラム

マイクロソフトは、次の脆弱性に対して、Windows Update 経由ですべてのサポートされている Windows システム バージョン用として追加の保護機能のリリースを完了したことをお知らせします。

• AMD プロセッサ用のスペクター バリアント 2

• Intel 製プロセッサの投機的ストア バイパス

2018 年 6 月 13 日、Lazy FP State Restore として知られる、サイドチャネル投機的実行に関係する新たな脆弱性が発表され、CVE-2018-3665 が割り当てられました。 Lazy Restore FP Restore に必要な構成 (レジストリ) 設定はありません。

この脆弱性、影響を受ける製品、推奨される操作の詳細については、次のセキュリティ アドバイザリを参照してください。

• ADV180016 | Lazy FP State Restore に関する Microsoft ガイダンス

2018 年 6 月 13日、マイクロソフトは、Windows が Intel 製プロセッサの投機的ストア バイパスの無効化 (SSBD) をサポートすることを発表しました。 これらの更新プログラムが機能するには、対応するファームウェア (マイクロコード) とレジストリの更新プログラムが必要です。 更新プログラムと SSBD を有効にするために適用する手順の詳細については、「ADV180012 | 投機的ストア バイパスに関する Microsoft ガイダンス」の「推奨される操作」を参照してください。

2018 年 5 月 Windows オペレーティング システムの更新プログラム

2018 年 1 月、マイクロソフトは、AMD、ARM、および Intel 製 CPU にさまざまなレベルで影響を及ぼす、投機的実行サイド チャネルを伴う新たに発見されたクラスのハードウェア脆弱性 (スペクターとメルトダウン) に関する情報をリリースしました。 2018 年 5 月 22 日、Google Project Zero (GPZ)、Microsoft、および Intel は、投機的ストア バイパス (SSB) と不正システムのレジストリ読み取りというスペクターとメルトダウンの問題に関連する新しいチップの脆弱性 2 つを発表しました。

2 つの脆弱性の影響を両方受ける可能性はあまりありません。

これらの脆弱性の詳細については、以下の資料を参照してください。

• 投機的ストア バイパスに関する Microsoft セキュリティ アドバイザリ: MSRC ADV180012 および CVE-2018-3639

• 不正システムの登録読み取りに関する Microsoft セキュリティ アドバイザリ: MSRC ADV180013 および CVE-2018-3640

• セキュリティ調査と防御: Analysis and mitigation of speculative store bypass (CVE-2018-3639) (英語情報)

適用対象: Windows 10 Version 1607、Windows Server 2016、Windows Server 2016 (Server Core インストール)、Windows Server、version 1709 (Server Core インストール)

ユーザー コンテキストからカーネル コンテキストに切り替えるときに CVE-2017-5715 (スペクター バリアント 2) を緩和するために、一部の AMD プロセッサ (CPU) 内の間接分岐予測バリア (IBPB) の使用を制御するサポートを提供しています (詳細については、「AMD Architecture Guidelines around Indirect Branch Control」(英語情報) と「AMD Security Updates」(英語情報) を参照してください)。

Windows 10 Version 1607、Windows Server 2016、Windows Server 2016 (Server Core インストール)、および Windows Server Version 1709 (Server Core インストール) を実行している場合、CVE-2017-5715 (ブランチ ターゲット インジェクション) に対応する AMD プロセッサの追加の緩和策として、セキュリティ更新プログラム 4103723 をインストールする必要があります。 この更新プログラムは、Windows Update を介して入手することもできます。

Windows クライアント (IT プロフェッショナル) ガイダンスについては KB 4073119、Windows Server ガイダンスについては KB 4072698 に従い、ユーザー コンテキストをカーネル コンテキストに切り替えるときは、一部の AMD プロセッサ (CPU) 内で IBPB の使用を有効にします。

Microsoft は、スペクター バリアント 2 (CVE-2017-5715 "ブランチ ターゲット インジェクション") に対して Intel による検証済みのマイクロコードの更新プログラムをリリースしています。 Windows Update から最新の Intel 製マイクロコードの更新プログラムを入手するには、Windows 10 2018 年 4 月更新プログラム (バージョン 1803) にアップグレードする前に、Windows 10 オペレーティング システムを実行しているデバイスに Intel 製マイクロコードをインストールしておく必要があります。

OS のアップグレード前にデバイスにインストールされていなかった場合は、マイクロコードの更新プログラムをカタログから直接入手することもできます。 Intel 製マイクロコードは、Windows Update、WSUS、または Microsoft Update カタログを介して入手できます。 詳細情報とダウンロード手順については、KB 4100347 を参照してください。

Windows オペレーティング システム用のマイクロコードの更新プログラムが Intel から追加で提供され次第、リリースする予定です。

適用対象: Windows 10 バージョン 1709

ユーザー コンテキストからカーネル コンテキストに切り替えるときに CVE-2017-5715 (スペクター バリアント 2) を緩和するために、一部の AMD プロセッサ (CPU) 内の間接分岐予測バリア (IBPB) の使用を制御するサポートを提供しています (詳細については、「AMD Architecture Guidelines around Indirect Branch Control」(英語情報) と「AMD Security Updates」(英語情報) を参照してください)。

ユーザー コンテキストからカーネル コンテキストに切り替えるときにスペクター バリアント 2 を緩和するために、一部の AMD プロセッサ (CPU) 内で IBPB の使用を有効にするには、Windows クライアント (IT Pro) ガイダンスの KB 4073119 の説明に従ってください。

マイクロソフトは、スペクター バリアント 2 (CVE-2017-5715「ブランチ ターゲット インジェクション」) に対して Intel による検証済みのマイクロコードの更新プログラムをリリースしています。 KB4093836 には、Windows バージョン別のサポート技術情報一覧が記載されています。 また、各サポート技術情報には、リリースされている Intel 製マイクロコードの最新の更新プログラムが CPU 別に記載されています。

Windows オペレーティング システム用のマイクロコードの更新プログラムが Intel から追加で提供され次第、リリースする予定です。 

2018 年 3 月以降の Windows オペレーティング システムの更新プログラム

3 月 23 日、TechNet セキュリティ調査 & 防御: KVA シャドー: Windows でのメルトダウンの軽減

3 月 14 日、Security Tech Center: 投機的実行サイド チャネルに関する報奨金プログラムの利用規約

3 月 13 日、ブログ: March 2018 Windows Security Update – Expanding Our Efforts to Protect Customers (英語情報)

3 月 1 日、ブログ: Update on Spectre and Meltdown security updates for Windows devices (英語情報)

マイクロソフトは、2018 年 3 月から、以下の x86 ベースの Windows オペレーティング システムを実行しているデバイス向けに緩和策を提供するセキュリティ更新プログラムのリリースを開始しました。 利用できる保護を受けるには、最新の Windows オペレーティング システム用セキュリティ更新プログラムをインストールする必要があります。 サポートされている他の Windows バージョンに対して保護機能を提供するために引き続き取り組んでいますが、現時点ではリリース スケジュールは未定です。 改めてこちらのページで更新プログラム情報をご確認ください。 技術的な詳細情報については、関連するサポート技術情報を参照してください。また、「よく寄せられる質問」を参照してください。

リリースされる製品の更新プログラム	ステータス	リリース日	リリース チャネル	KB
Windows 8.1 と Windows Server 2012 R2 - セキュリティのみの更新プログラム	リリース済み	3 月 14 日	WSUS、カタログ、	KB4088879
Windows 7 SP1 と Windows Server 2008 R2 SP1 - セキュリティのみの更新プログラム	リリース済み	3 月 14 日	WSUS、カタログ	KB4088878
Windows Server 2012 - セキュリティのみの更新プログラム Windows 8 Embedded Standard Edition - セキュリティのみの更新プログラム	リリース済み	3 月 14 日	WSUS、カタログ	KB4088877
Windows 8.1 と Windows Server 2012 R2 - マンスリー ロールアップ	リリース済み	3 月 14 日	WU、WSUS、カタログ	KB4088876
Windows 7 SP1 と Windows Server 2008 R2 SP1 - マンスリー ロールアップ	リリース済み	3 月 14 日	WU、WSUS、カタログ	KB4088875
Windows Server 2012 - マンスリー ロールアップ Windows 8 Embedded Standard Edition - マンスリー ロールアップ	リリース済み	3 月 14 日	WU、WSUS、カタログ	KB4088877
Windows Server 2008 SP2	リリース済み	3 月 14 日	WU、WSUS、カタログ	KB4090450

マイクロソフトは、2018 年 3 月から、以下の x64 ベースの Windows オペレーティング システムを実行しているデバイス向けに緩和策を提供するセキュリティ更新プログラムのリリースを開始しました。 利用できる保護を受けるには、最新の Windows オペレーティング システム用セキュリティ更新プログラムをインストールする必要があります。 サポートされている他の Windows バージョンに対して保護機能を提供するために引き続き取り組んでいますが、現時点ではリリース スケジュールは未定です。 改めてこちらのページで更新プログラム情報をご確認ください。 技術的な詳細情報については、関連するサポート技術情報を参照してください。また、「よく寄せられる質問」を参照してください。

リリースされる製品の更新プログラム	ステータス	リリース日	リリース チャネル	KB
Windows Server 2012 - セキュリティのみの更新プログラム Windows 8 Embedded Standard Edition - セキュリティのみの更新プログラム	リリース済み	3 月 14 日	WSUS、カタログ	KB4088877
Windows Server 2012 - マンスリー ロールアップ Windows 8 Embedded Standard Edition - マンスリー ロールアップ	リリース済み	3 月 14 日	WU、WSUS、カタログ	KB4088877
Windows Server 2008 SP2	リリース済み	3 月 14 日	WU、WSUS、カタログ	KB4090450

この更新プログラムは、Windows の 64 ビット (x64) 版の Windows カーネルに存在する特権の昇格の脆弱性を解決します。 この脆弱性の詳細については、CVE-2018-1038 を参照してください。 2018 年 1 月以降に次のサポート技術情報に記載されているいずれかの更新プログラムを適用してコンピューターを更新した場合、この脆弱性から完全に保護するには、この更新プログラムを適用する必要があります。

CVE-2018-1038 の Windows カーネルの更新プログラム

このセキュリティ更新プログラムは、報告されたいくつかの Internet Explorer の脆弱性を解決します。 脆弱性の詳細については、「Microsoft の一般的な脆弱性と漏洩」を参照してください。 

リリースされる製品の更新プログラム	ステータス	リリース日	リリース チャネル	KB
Internet Explorer 10 - Windows 8 Embedded Standard Edition 用の累積的な更新プログラム	リリース済み	3 月 14 日	WU、WSUS、カタログ	KB4089187

2018 年 2 月 Windows オペレーティング システムの更新プログラム

ブログ: Windows Analytics now helps assess Spectre and Meltdown protections (英語情報)

以下のセキュリティ更新プログラムは、32 ビット (x86) 版 Windows オペレーティング システムを実行するデバイスに対して追加の保護機能を提供します。 マイクロソフトは、更新プログラムがリリースされ次第、すぐにインストールすることをお勧めします。 サポートされている他の Windows バージョンに対して保護機能を提供するために引き続き取り組んでいますが、現時点ではリリース スケジュールは未定です。 改めてこちらのページで更新プログラム情報をご確認ください。 

注 Windows 10 のマンスリー セキュリティ更新プログラムは毎月累積されています。また、Windows Update から自動的にダウンロードされ、インストールされます。 以前の更新プログラムをインストールした場合は、新しい部分のみがデバイスにダウンロードされ、インストールされます。 技術的な詳細情報については、関連するサポート技術情報を参照してください。また、「よく寄せられる質問」を参照してください。

リリースされる製品の更新プログラム	ステータス	リリース日	リリース チャネル	KB
Windows 10 - Version 1709 / Windows Server 2016 (1709) / IoT Core - 品質更新プログラム	リリース済み	2 月 1 日	WU、カタログ	KB4058258
Windows Server 2016 (1709) - サーバー コンテナー	リリース済み	2 月 14 日	Docker Hub	KB4074588
Windows 10 - Version 1703 / IoT Core - 品質更新プログラム	リリース済み	2 月 14 日	WU、WSUS、カタログ	KB4074592
Windows 10 - Version 1607 / Windows Server 2016 / IoT Core - 品質更新プログラム	リリース済み	2 月 14 日	WU、WSUS、カタログ	KB4074590
Windows 10 HoloLens - OS およびファームウェアの更新プログラム	リリース済み	2 月 14 日	WU、カタログ	KB4074590
Windows Server 2016 (1607) - コンテナー イメージ	リリース済み	2 月 14 日	Docker Hub	KB4074590
Windows 10 - バージョン 1511/IoT Core - 品質更新プログラム	リリース済み	2 月 14 日	WU、WSUS、カタログ	KB4074591
Windows 10 - Version RTM - 品質更新プログラム	リリース済み	2 月 14 日	WU、WSUS、カタログ	KB4074596

2018 年 1 月 Windows オペレーティング システムの更新プログラム

ブログ: Understanding the Performance Impact of Spectre and Meltdown Mitigations on Windows Systems (英語情報)

マイクロソフトは、2018 年 1 月から、以下の x64 ベースの Windows オペレーティング システムを実行しているデバイス向けに緩和策を提供するセキュリティ更新プログラムをリリースしました。 利用できる保護を受けるには、最新の Windows オペレーティング システム用セキュリティ更新プログラムをインストールする必要があります。 サポートされている他の Windows バージョンに対して保護機能を提供するために引き続き取り組んでいますが、現時点ではリリース スケジュールは未定です。 改めてこちらのページで更新プログラム情報をご確認ください。 技術的な詳細情報については、関連するサポート技術情報を参照してください。また、「よく寄せられる質問」を参照してください。

リリースされる製品の更新プログラム	ステータス	リリース日	リリース チャネル	KB
Windows 10 - Version 1709 / Windows Server 2016 (1709) / IoT Core - 品質更新プログラム	リリース済み	1 月 4 日	WU、WSUS、Catalog、Azure イメージ ギャラリー	KB4056892
Windows Server 2016 (1709) - サーバー コンテナー	リリース済み	1 月 6 日	Docker Hub	KB4056892
Windows 10 - Version 1703 / IoT Core - 品質更新プログラム	リリース済み	1 月 4 日	WU、WSUS、カタログ	KB4056891
Windows 10 - Version 1607 / Windows Server 2016 / IoT Core - 品質更新プログラム	リリース済み	1 月 4 日	WU、WSUS、カタログ	KB4056890
Windows Server 2016 (1607) - コンテナー イメージ	リリース済み	1 月 5 日	Docker Hub	KB4056890
Windows 10 - バージョン 1511/IoT Core - 品質更新プログラム	リリース済み	1 月 4 日	WU、WSUS、カタログ	KB4056888
Windows 10 - Version RTM - 品質更新プログラム	リリース済み	1 月 4 日	WU、WSUS、カタログ	KB4056893
Windows 10 Mobile (OS ビルド 15254.192) - ARM	リリース済み	1 月 6 日	WU、カタログ	KB4073117
Windows 10 Mobile (OS ビルド 15063.850)	リリース済み	1 月 6 日	WU、カタログ	KB4056891
Windows 10 Mobile (OS ビルド 14393.2007)	リリース済み	1 月 6 日	WU、カタログ	KB4056890
Windows 10 HoloLens	リリース済み	1 月 6 日	WU、カタログ	KB4056890
Windows 8.1/Windows Server 2012 R2 - セキュリティのみの更新プログラム	リリース済み	1 月 4 日	WSUS、カタログ	KB4056898
Windows Embedded 8.1 Industry Enterprise	リリース済み	1 月 4 日	WSUS、カタログ	KB4056898
Windows Embedded 8.1 Industry Pro	リリース済み	1 月 4 日	WSUS、カタログ	KB4056898
Windows Embedded 8.1 Pro	リリース済み	1 月 4 日	WSUS、カタログ	KB4056898
Windows 8.1/Windows Server 2012 R2 のマンスリー ロールアップ	リリース済み	1 月 7 日	WU、WSUS、カタログ	KB4056895
Windows Embedded 8.1 Industry Enterprise	リリース済み	1 月 7 日	WU、WSUS、カタログ	KB4056895
Windows Embedded 8.1 Industry Pro	リリース済み	1 月 7 日	WU、WSUS、カタログ	KB4056895
Windows Embedded 8.1 Pro	リリース済み	1 月 7 日	WU、WSUS、カタログ	KB4056895
Windows Server 2012 のセキュリティのみの更新プログラム	リリース済み		WSUS、カタログ
Windows Server 2008 SP2	リリース済み		WU、WSUS、カタログ
Windows Server 2012 のマンスリー ロールアップ	リリース済み		WU、WSUS、カタログ
Windows Embedded 8 Standard	リリース済み		WU、WSUS、カタログ
Windows 7 SP1/Windows Server 2008 R2 SP1 - セキュリティのみの更新プログラム	リリース済み	1 月 4 日	WSUS、カタログ	KB4056897
Windows Embedded Standard 7	リリース済み	1 月 4 日	WSUS、カタログ	KB4056897
Windows Embedded POSReady 7	リリース済み	1 月 4 日	WSUS、カタログ	KB4056897
Windows Thin PC	リリース済み	1 月 4 日	WSUS、カタログ	KB4056897
Windows 7 SP1/Windows Server 2008 R2 SP1 のマンスリー ロールアップ	リリース済み	1 月 5 日	WU、WSUS、カタログ	KB4056894
Windows Embedded Standard 7	リリース済み	1 月 5 日	WU、WSUS、カタログ	KB4056894
Windows Embedded POSReady 7	リリース済み	1 月 5 日	WU、WSUS、カタログ	KB4056894
Windows Thin PC	リリース済み	1 月 5 日	WU、WSUS、カタログ	KB4056894
Internet Explorer 11 - Windows 7 SP1 および Windows 8.1 用の累積的な更新プログラム	リリース済み	1 月 4 日	WU、WSUS、カタログ	KB4056568

2024 年 4 月 9 日に CVE-2022-0001 |Intel Branch History Injection が発行されました。これは、モード内 BTI の特定の形式であるブランチ履歴インジェクション (BHI) を記述します。 この脆弱性は、攻撃者がユーザー モードから保護モード (または VMX 非ルート/ゲスト モードからルート モード) に移行する前にブランチ履歴を操作する可能性がある場合に発生します。 この操作により、間接分岐予測子が間接分岐の特定の予測子エントリを選択する可能性があり、予測されたターゲットの開示ガジェットが一時的に実行されます。 これは、関連するブランチ履歴に、以前のセキュリティ コンテキスト、特に他のプレディクター モードで行われた分岐が含まれている可能性があるため、可能である場合があります。

「KB4073119 for Windows Client (IT Pro) ガイダンス」および「Windows Server ガイダンスのKB4072698」で説明されている手順に従って 、CVE-2022-0001 で説明されている脆弱性を軽減します。 |Intel Branch History Injection。

L1 Terminal Fault (L1TF) に関する Microsoft セキュリティ アドバイザリ: MSRC ADV180018、CVE-2018-3615、CVE-2018-3620、CVE-2018-3646

セキュリティ調査と防御: Analysis and mitigation of speculative store bypass (CVE-2018-3639) (英語情報)

投機的ストア バイパスに関する Microsoft セキュリティ アドバイザリ: MSRC ADV180012 および CVE-2018-3639

不正システムの登録読み取りに関する Microsoft セキュリティ アドバイザリ | Surface 向けセキュリティ更新プログラム ガイド: MSRC ADV180013 および CVE-2018-3640

セキュリティ調査と防御: Analysis and mitigation of speculative store bypass (CVE-2018-3639) (英語情報)

TechNet セキュリティ調査 & 防御: KVA シャドー: Windows でのメルトダウンの軽減

Security Tech Center: 投機的実行サイド チャネルに関する報奨金プログラムの利用規約

Microsoft Experience ブログ: Update on Spectre and Meltdown security updates for Windows devices (英語情報)

Windows for Business ブログ: Windows Analytics now helps assess Spectre and Meltdown protections (英語情報)

Microsoft Secure ブログ: Understanding the Performance Impact of Spectre and Meltdown Mitigations on Windows Systems (Windows システムで Spectre と Meltdown の影響を軽減したことによるパフォーマンスの影響について)

Edge 開発者ブログ: Mitigating speculative execution side-channel attacks in Microsoft Edge and Internet Explorer (Microsoft Edge および Internet Explorer における投機的実行サイドチャネルの攻撃を軽減する)

Azure ブログ: Securing Azure customers from CPU vulnerability (CPU の脆弱性から Azure ユーザーを保護する)

SCCM ガイダンス: Additional guidance to mitigate speculative execution side-channel vulnerabilities (投機的実行サイドチャネルの脆弱性を軽減するための追加のガイダンス)

マイクロソフト アドバイザリ:

• ADV180002 | 投機的実行のサイドチャネルの脆弱性を軽減するガイダンス

• ADV180012 | 投機的ストア バイパスに関する Microsoft ガイダンス

• ADV180013 | Microsoft Guidance for Rogue System Register Read (英語情報)

• ADV180016 | Lazy FP State Restore に関する Microsoft ガイダンス

• ADV180018 | L1TF バリアントのリスクを軽減するための Microsoft ガイダンス

Intel: セキュリティ アドバイザリ

ARM: セキュリティ アドバイザリ

AMD: セキュリティ アドバイザリ

NVIDIA: セキュリティ アドバイザリ

コンシューマー ガイダンス: チップに関連するセキュリティ上の脆弱性からデバイスを保護する

ウイルス対策ガイダンス: 2018 年 1 月 3 日にリリースされた Windows セキュリティ更新プログラムとウイルス対策ソフトウェア

AMD Windows OS のセキュリティ更新プログラムの提供停止に関するガイダンス: KB4073707: 一部の AMD ベースのデバイスに対する Windows オペレーティング システムのセキュリティ更新プログラムの提供停止

Spectre バリアント 2 に対する軽減策を無効にする更新プログラム: KB4078130: Intel が一部の古いプロセッサにおいてマイクロコードの再起動に関する問題を指摘  

Surface ガイダンス: 投機的実行サイドチャネルの脆弱性から保護するための Surface ガイダンス

投機的実行サイド チャネルの軽減策の状態を確認する: Get-SpeculationControlSettings PowerShell スクリプトの概要

IT プロフェッショナル向けガイダンス: 投機的実行サイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス

Server ガイダンス: 投機的実行サイドチャネルの脆弱性から保護するための Windows Server ガイダンス

L1 Terminal Fault の Server ガイダンス: L1 Terminal Fault から保護するための Windows Server 向けガイダンス

開発者ガイダンス: Developer Guidance for Speculative Store Bypass (英語情報)

サーバー Hyper-V ガイダンス

• Virtual Machine Resource Controls (英語情報)

• Hyper-V Host CPU Resource Management (英語情報)

Azure KB: KB4073235: 投機的実行サイドチャネルの脆弱性からの Microsoft Cloud の保護

Azure Stack ガイダンス: KB4073418: 投機的実行サイド チャネルの脆弱性から保護するための Azure Stack ガイダンス

Azure 信頼性: Azure 信頼性ポータル

SQL Server ガイダンス: KB4073225: 投機的実行サイドチャネルの脆弱性から保護するための SQL Server ガイダンス

OEM とサーバー デバイスの製造元のスペクターとメルトダウンの脆弱性から保護する更新プログラムの一覧

これらの脆弱性に対処するには、ハードウェアとソフトウェアの両方を更新する必要があります。 ファームウェア (マイクロコード) の更新プログラムについては、以下のリンクを使用してデバイスの製造元に確認してください。

ファームウェア (マイクロコード) の更新プログラムについては、以下のリンクを使用してデバイスの製造元に確認してください。 利用できるすべての保護を受けるには、オペレーティング システムとファームウェア (マイクロコード) の両方の更新プログラムをインストールする必要があります。

OEM デバイスの製造元	マイクロコードのリリースに関するリンク
Acer	Meltdown および Spectre のセキュリティ脆弱性
Asus	投機的実行と間接分岐予測サイド チャネル分析法に関する ASUS の更新
Dell	Meltdown および Spectre の脆弱性
Epson	CPU の脆弱性 (サイド チャネル攻撃)
Fujitsu	サイドチャネル攻撃に対して脆弱な CPU ハードウェア (CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)
HP	通信のサポート - セキュリティ情報
Lenovo	サイド チャネルを使用した特権メモリの読み取り
LG	製品のヘルプとサポートを入手する
NEC	当社製品のプロセッサの脆弱性 (メルトダウン、スペクトル) への対応について
Panasonic	投機的実行と間接分岐予測サイド チャネル分析法による脆弱性のセキュリティ情報
Samsung	Intel CPU ソフトウェア更新のお知らせ
Surface	投機的実行サイドチャネルの脆弱性から保護するための Surface ガイダンス
Toshiba	Intel、AMD および Microsoft の投機的実行と間接分岐予測サイド チャネル分析法のセキュリティ脆弱性 (2017)
Vaio	サイド チャネル分析の脆弱性サポートについて

サーバー OEM の製造元	マイクロコードのリリースに関するリンク
Dell	Meltdown および Spectre の脆弱性
Fujitsu	サイドチャネル攻撃に対して脆弱な CPU ハードウェア (CVE-2017-5715、CVE-2017-5753、CVE-2017-5754)
HPE	ヒューレット・パッカード エンタープライズ製品セキュリティ脆弱性アラート
Huawei	セキュリティに関する注意 - Intel CPU アーキテクチャー設計におけるセキュリティ脆弱性のメディア開示に関する声明
Lenovo	サイド チャネルを使用した特権メモリの読み取り

ファームウェア (マイクロコード) の更新プログラムについては、お使いのデバイスの製造元に確認する必要があります。 デバイスの製造元が一覧に掲載されていない場合は、OEM に直接お問い合わせください。

Microsoft Surface の更新プログラムは、Windows Update からお客様に提供されます。 入手可能な Surface デバイスのファームウェア (マイクロコード) 更新プログラムの一覧については、KB 4073065 を参照してください。

Microsoft 製のデバイスではない場合は、デバイスの製造元から提供されるファームウェアの更新プログラムを適用してください。 詳細については、デバイスの製造元にお問い合わせください。

ソフトウェアの更新プログラムでハードウェアの脆弱性に対処することは非常に困難であり、古いオペレーティング システムに緩和策を提供するには大幅なアーキテクチャの変更が必要になる可能性があります。 マイクロソフトは影響を受けるチップの製造元との協力を継続し、緩和策を提供する最善の方法を調査しています。 今後の更新プログラムで提供できる可能性があります。 残りのリスクに対処するには、以前のバージョンのオペレーティング システムを実行している旧式のデバイスを交換し、ウイルス対策ソフトウェアを更新することをお勧めします。

Windows XP ベースのシステムは影響を受ける製品ですが、必要な包括的なアーキテクチャ上の変更によってシステムが不安定になり、アプリケーションの互換性の問題が発生する可能性があるため、Microsoft は更新プログラムをリリースしていません。 セキュリティに配慮する場合は、変化するセキュリティ上の脅威に対応し、新しいオペレーティング システムが提供する、より堅牢な保護機能の恩恵を受けるために、サポートされる新しいオペレーティング システムにアップグレードすることをお勧めします。

Windows 10 for HoloLens の更新プログラムは、Windows Update から HoloLens のお客様に提供されます。

2018 年 2 月の Windows セキュリティ更新プログラムを適用した後、HoloLens のお客様はお使いのデバイスのファームウェアを更新するため、さらに操作を実行する必要があります。 これらの緩和策は、Windows 10 for HoloLens の今後すべてのリリースにも含まれる予定です。

詳細については、OEM にお問い合わせください。

デバイスを完全に保護するには、デバイス用の最新の Windows オペレーティング システムのセキュリティ更新プログラムと、デバイスの製造元からリリースされた適切なファームウェア (マイクロコード) の更新プログラムをインストールする必要があります。 これらの更新プログラムについては、デバイスの製造元の Web サイトで入手してください。 まずウイルス対策ソフトウェアの更新プログラムをインストールする必要があります。 オペレーティング システムとファームウェアの更新プログラムは、任意の順序でインストールできます。

この脆弱性に対応するには、ハードウェアとソフトウェアの両方を更新する必要があります。 より包括的な保護を適用するには、デバイスの製造元から提供された該当するファームウェア (マイクロコード) 更新プログラムもインストールする必要があります。 毎月のセキュリティ更新プログラムをインストールすることによって、デバイスを最新の状態に維持することをお勧めします。

Windows 10 の各機能更新プログラムでは、最新のセキュリティ テクノロジをオペレーティング システムの奥深くに組み込み、あらゆるクラスのマルウェアの影響を受けないようにデバイスを保護する多層防御機能を提供しています。 機能更新プログラムは、年 2 回のリリースを目標としています。 各マンスリー品質更新プログラムでは、変化と進化を続ける脅威に対して最新のシステムをより安全にするために、マルウェアの最新動向や変化する動向を追跡するセキュリティ層を追加しています。

マイクロソフトは、サポートされる Windows 10、Windows 8.1、および Windows 7 SP1 デバイス向けに Windows セキュリティ更新プログラム用 AV 互換性チェックを Windows Update を介して提供することを決定しました。 

推奨事項:

• マイクロソフトおよびハードウェアの製造元からリリースされている最新のセキュリティ更新プログラムを適用して、デバイスを最新の状態に保ってください。 デバイスを最新の状態に保つ方法については、「Windows Update: FAQ」を参照してください。

• 発行元が不明な Web サイトにアクセスするときは十分に注意し、信頼できないサイトは開いたままにしないでください。 マイクロソフトは、サポートされるウイルス対策プログラムを実行してデバイスを保護することをすべてのお客様にお勧めします。 組み込みのウイルス対策保護 (Windows 10 デバイスでは Windows Defender、Windows 7 デバイスでは Microsoft Security Essentials) を活用することもできます。 これらのウイルス対策機能は、ウイルス対策ソフトウェアをインストールまたは実行している場合でも利用できます。

お客様のデバイスに悪影響が及ぶことを防ぐために、すべてのお客様には 1 月または 2 月にリリースされた Windows セキュリティ更新プログラムが提供されていません。 詳細については、Microsoft サポート技術情報 4072699 を参照してください。 

Intel から、スペクター バリアント 2 (CVE -2017-5715 "ブランチ ターゲット インジェクション") に対処するために最近リリースされたマイクロコードに影響する問題が報告されました。 具体的には、このマイクロコードにより、"想定よりも再起動回数が多くなり、他の予期しないシステム動作が発生" し、その結果として "データの損失や破損" が発生する可能性があることが Intel から報告されました。  これまでの経験では、システムが不安定になると、状況によってデータの損失や破損が発生する可能性があります。 1 月 22 日、Intel はお客様に対して、影響を受けるプロセッサに現行のマイクロコード バージョンを展開しないことを勧めました。一方、Intel は更新された解決策の追加テストを実行しています。 マイクロソフトでは、Intel が現行のマイクロコード バージョンの影響を引き続き調査し、決定事項を知らせるガイダンスを常に確認するようにお客様に勧めていることを把握しています。

Intel は新しいマイクロコードをテスト、更新、展開していますが、本日、Microsoft は定例外 (OOB) の更新プログラム KB 4078130 をリリースします。この更新プログラムで、特に CVE-2017-5715 – "ブランチ ターゲット インジェクション" に対する緩和策のみを無効にすることができます。 マイクロソフトのテストでは、この更新プログラムによって、説明されている動作が回避されることがわかっています。 デバイスの詳細な一覧については、Intel のマイクロコード リビジョン ガイダンス (英語情報) を参照してください。 この更新プログラムの対象は、Windows 7 (SP1)、Windows 8.1、およびすべてのバージョンの Windows 10 (クライアントおよびサーバー) です。 影響を受けるデバイスを実行している場合、Microsoft Update カタログ Web サイトからダウンロードしてこの更新プログラムを適用できます。 このペイロードを適用すると、CVE-2017-5715 – “ブランチ ターゲット インジェクション” に対する緩和策のみが無効になります。 

1 月 26 日時点で、このスペクター バリアント 2 (CVE-2017-5715) がユーザーに対する攻撃に使用されたという既知の報告はありません。 Windows のユーザーは、お使いのデバイスの予期しないシステム動作の問題が解決されたと Intel から報告された時点で、CVE-2017-5715 に対処する緩和策を適宜、再び有効にすることをお勧めします。

いいえ。 セキュリティのみの更新プログラムは累積的ではありません。 実行しているオペレーティング システムのバージョンによっては、これらの脆弱性から保護するためにリリースされているすべてのセキュリティのみの更新プログラムをインストールする必要があります。 たとえば、影響を受ける Intel CPU 上で Windows 7 for 32-bit Systems を実行している場合は、2018 年 1 月以降のすべてのセキュリティのみの更新プログラムをインストールする必要があります。 これらのセキュリティのみの更新プログラムは、リリース順にインストールすることをお勧めします。
 
注: この FAQ の以前のバージョンでは、2 月のセキュリティのみの更新プログラムには 1 月にリリースされたセキュリティ修正プログラムが含まれている、と誤って記載されていました。 実際は含まれていません。

いいえ。 セキュリティ更新プログラム 4078130 は、マイクロコードのインストール後に発生する予期しないシステムの動作、パフォーマンスの問題、予期しない再起動を防ぐことを目的とした修正プログラムでした。 Windows クライアント オペレーティング システムに 2 月のセキュリティ更新プログラムを適用すると、3 つの緩和策がすべて有効になります。 Windows Server オペレーティング システムでは、適切なテストを実行した後に緩和策を有効にする必要があります。 詳細については、Microsoft サポート技術情報の記事 4072698 を参照してください。

AMD の 最近の発表 によると、スペクター バリアント 2 (CVE-2017-5715 "ブランチ ターゲット インジェクション") を中心に新しい CPU プラットフォームのマイクロコードがリリースされました。 詳細については、「AMD Security Updates」(英語情報) と「AMD Architecture Guidelines around Indirect Branch Control」(英語情報)を参照してください。 これらは OEM ファームウェア チャネルから入手できます。 

Intel は検証を完了し、新しい CPU プラットフォーム用のマイクロコードのリリースを開始したことを 最近発表しました。 マイクロソフトは、スペクター バリアント 2 (CVE-2017-5715「ブランチ ターゲット インジェクション」) に対して Intel による検証済みのマイクロコードの更新プログラムをリリースしています。 KB 4093836 には、Windows バージョン別のサポート技術情報一覧が記載されています。 また、各サポート技術情報には、リリースされている Intel 製マイクロコードの更新プログラムが CPU 別に記載されています。

Microsoft は、スペクター バリアント 2 (CVE-2017-5715 "ブランチ ターゲット インジェクション") に対して Intel による検証済みのマイクロコードの更新プログラムをリリースしています。 Windows Update から最新の Intel 製マイクロコードの更新プログラムを入手するには、Windows 10 2018 年 4 月更新プログラム (バージョン 1803) にアップグレードする前に、Windows 10 オペレーティング システムを実行しているデバイスに Intel 製マイクロコードをインストールしておく必要があります。

システムのアップグレード前にデバイスにインストールされていなかった場合は、マイクロコードの更新プログラムを Update カタログから直接入手することもできます。 Intel 製マイクロコードは、Windows Update、WSUS、または Microsoft Update カタログを介して入手できます。 詳細情報とダウンロード手順については、KB 4100347 を参照してください。

詳細については、以下の資料を参照してください。

• ADV180012 | Microsoft Guidance for Speculative Store Bypass for CVE-2018-3639 (英語情報)

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 (英語情報)、KB 4073065 | ユーザー向けガイダンス

• Microsoft Security Research and Defense のブログ

• Developer Guidance for Speculative Store Bypass (英語情報)

詳細については、「ADV180012 | 投機的ストア バイパスに関する Microsoft ガイダンス」の「推奨される操作」と「FAQ」を参照してください。

SSBD の状態を確認するために、影響を受けるプロセッサ、SSBD のオペレーティング システムの更新プログラムの状態、プロセッサ マイクロコードの状態 (該当する場合) を検出できるように Get-SpeculationControlSettings PowerShell スクリプトが更新されています。 PowerShell スクリプトの詳細と入手については、KB4074629 を参照してください。

2018 年 6 月 13 日、Lazy FP State Restore として知られる、サイドチャネル投機的実行に関係する新たな脆弱性が発表され、CVE-2018-3665 が割り当てられました。 Lazy Restore FP Restore に必要な構成 (レジストリ) 設定はありません。

この脆弱性と推奨される操作の詳細については、セキュリティ アドバイザリ「ADV180016 | Lazy FP State Restore に関する Microsoft ガイダンス」を参照してください。

注Lazy Restore FP Restore に必要な構成 (レジストリ) 設定はありません。

Bounds Check Bypass Store (BCBS) は 2018 年 7 月 11 日に公開され、CVE-2018-3693 が割り当てられました。 マイクロソフトでは、BCBS は Bounds Check Bypass (バリアント 1) と同じ脆弱性クラスに属すると考えています。 マイクロソフトのソフトウェアにおける BCBS インスタンスは現在認識されていませんが、マイクロソフトこの脆弱性クラスを引き続き調査しており、必要に応じて業界のパートナーと協力して緩和策をリリースします。 研究者の皆様には、利用可能な BCBS インスタンスを含む、関連する調査結果をマイクロソフトの 投機的実行のサイドチャネルに関する報奨金プログラム に提出いただけますよう引き続きよろしくお願いいたします。 ソフトウェア開発者の皆様は、BCBS に関して更新された開発者向けガイダンス (https://aka.ms/sescdevguide) をご覧ください。

2018 年 8 月 14 日、L1 Terminal Fault (L1TF) が発表され、複数の CVE が割り当てられました。 これらの投機的実行のサイドチャネルの脆弱性が悪用されると、信頼される境界全体のメモリの内容を読み取られる可能性があり、悪用された場合、情報漏えいにつながる可能性があります。 構成されている環境によっては、攻撃者がこれらの脆弱性をトリガーすることができるベクトルが複数存在します。 L1TF は Intel® Core® プロセッサと Intel® Xeon® プロセッサに影響を及ぼします。

この脆弱性の緩和に対するマイクロソフトのアプローチを含む、L1TF と影響を受けるシナリオの詳細ビューに関する詳細については、次のリソースを参照してください。’

• ADV180018 | L1TF バリアントのリスクを軽減するためのマイクロソフト ガイダンス

• セキュリティ アドバイザリのセキュリティ調査ブログ

• L1 Terminal Fault に関するサーバー ガイダンス

Microsoft Surface をご利用の場合: Microsoft Surface および Surface Book 製品をご利用の場合は、セキュリティ アドバイザリ: ADV180018 | L1TF バリアントのリスクを軽減するための Microsoft ガイダンス に説明される Windows クライアントに関するガイダンスに従う必要があります。 影響を受ける Surface 製品とマイクロコードの更新プログラムに関する詳細については、Microsoft サポート技術情報 4073065 も参照してください。

Microsoft HoloLens をご利用の場合: Microsoft HoloLens は、影響を受ける Intel プロセッサを使用していないため、 L1TF の影響を受けません。

ハイパースレッディングを無効にするために必要な手順は OEM ごとに異なりますが、通常は BIOS またはファームウェアのセットアップ ツールと構成ツールの一部です。

64 ビット ARM プロセッサをご利用の場合は、変更を有効にするために、CVE-2017-5715 - ブランチ ターゲット インジェクション (スペクター バリアント 2) を緩和する ARM64 オペレーティング システムの保護機能はデバイス OEM の最新のファームウェア更新プログラムを必要とするため、ファームウェアのサポートについてデバイス OEM に確認する必要があります。

この脆弱性の詳細については、Microsoft セキュリティ ガイド「CVE-2019-1125 | Windows カーネル情報漏えいの脆弱性」を参照してください。

この情報漏えいの脆弱性が Microsoft のクラウド サービス インフラストラクチャに影響を与えている事例は把握していません。

マイクロソフトではこの問題を認識してすぐに、問題を迅速に解決して更新プログラムをリリースすることに取り組みました。 マイクロソフトは、お客様をより確実に保護するために、調査会社と業界パートナー双方との密接なパートナーシップを固く信頼しており、脆弱性の開示方法の取り決めに従って 8 月 7 日水曜日まで詳細を公表していませんでした。