概要
マイクロソフトは、最近表面化した “投機的実行サイドチャネル攻撃” と呼ばれる脆弱性クラスを認識しています。この脆弱性クラスは、多数の先端プロセッサ/オペレーティング システムに影響を与えます。 影響を受けるチップセットには、Intel 製、AMD 製、ARM 製が含まれます。
マイクロソフトは、お客様の攻撃にこれらの脆弱性が使用されたことを示す情報をまだ受け取っていません。 マイクロソフトは、お客様を保護するために、 チップの製造元、ハードウェア OEM、アプリケーション ベンダーなどの業界のパートナーと密接な協力を続けています。 提供されているすべての保護対策を利用するには、ハードウェアまたはファームウェアの更新プログラムとソフトウェア更新プログラムが必要です。 これには、デバイス OEM のマイクロコードや、場合によっては、ウイルス対策ソフトウェア用の更新プログラムが含まれます。 マイクロソフトは、既にこれらの脆弱性を軽減するのに役立つ更新プログラムをいくつかリリースしています。 これらの脆弱性の詳細については、マイクロソフト セキュリティ アドバイザリ ADV180002 を参照してください。 一般的なガイダンスについては、「Azure での予測実行のサイドチャネルの脆弱性を軽減するためのガイダンス」を参照してください。 このほか、弊社のクラウド サービスを保護する対策も既に講じています。 詳細については、以下のセクションを参照してください。
影響を受ける Exchange Server のバージョン
x64 ベースと x86 ベースのプロセッサ システムを標的とするハードウェアレベルの攻撃なので、すべてのサポートされるバージョンの Microsoft Exchange Server がこの問題の影響を受けます。
推奨事項
次の表は、Exchange Server をご利用のお客様に推奨される操作の説明です。 現在必要な特定の Exchange 用更新プログラムはありません。 ただし、常に最新の Exchange Server の累積的な更新プログラムと必要なセキュリティ更新プログラムを実行することをお勧めします。 実稼働環境に展開する前に、通常の手順に従って修正プログラムを展開し、新しいバイナリを検証することをお勧めします。
|
シナリオ |
説明 |
推奨事項 |
|
1 |
Exchange Server を (仮想マシンではなく) ベア メタルで実行し、他の信頼されていないアプリケーション ロジック (アプリケーション層) は同じベア メタル マシン上で実行しないようにします。
|
すべてのシステムと Exchange Server の更新プログラムは、通常の実稼働環境に導入前の検証テスト後に適用します。 カーネル仮想アドレス シャドウ処理 (KVAS) を有効にする必要はありません (この資料で後述する関連項目を参照してください)。 |
|
2 |
Exchange Server はパブリック ホスティング環境 (クラウド) の仮想マシンで実行するようにします。 |
Azure の場合: マイクロソフトでは Azure の緩和戦略について詳細を掲載しました (詳細については KB 4073235 を参照してください)。 他のクラウド プロバイダーの場合: 各プロバイダーのガイダンスを参照してください。 すべての OS 更新プログラムをゲスト仮想マシン (VM) にインストールすることをお勧めします。 KVAS を有効にするかどうかについては、この資料で後述するガイダンスを参照してください。 |
|
3 |
Exchange Server をプライベート ホスティング環境の仮想マシンで実行するようにします。 |
セキュリティのベスト プラクティスについては、ハイパーバイザーのセキュリティー ドキュメントを参照してください。 Windows Server および Hyper-V については KB 4072698 を参照してください。 すべての OS 更新プログラムをゲスト VM にインストールすることをお勧めします。 KVAS を有効にするかどうかについては、この資料で後述するガイダンスを参照してください。 |
|
4 |
Exchange Server は、物理または仮想マシン上で実行され、同じシステム上で実行されている他のアプリケーション ロジックと分離されていません。
|
すべての OS 更新プログラムをインストールすることをお勧めします。 リリースされている最新の製品更新プログラムおよび関連するセキュリティ更新プログラムを展開することをお勧めします。 KVAS を有効にするかどうかについては、この資料で前述したガイダンスを参照してください。 |
パフォーマンスについての注意
すべてのお客様に、更新プログラムの適用時に各環境のパフォーマンスを評価することをお勧めします。
ここで説明する種類の脆弱性に対してマイクロソフトが提供する解決策では、ソフトウェアベースのメカニズムを使用して、データに対するクロス プロセス アクセスから保護しています。 すべてのお客様に、更新されたバージョンの Exchange Server および Windows をインストールすることをお勧めします。 マイクロソフトが行った Exchange のワークロード テストによると、更新されたバージョンのインストールによるパフォーマンスの影響は最小限です。
マイクロソフトは、KVAS (カーネル仮想アドレス シャドウ処理) の効果をさまざまなワークロードで測定しました。 一部のワークロードでは、パフォーマンスが大幅に低下していることがわかりました。 Exchange Server は、KVAS が有効な場合にパフォーマンスが大幅に低下する可能性があるワークロードの 1 つです。 高い CPU 使用率または高い I/O 使用率のパターンを示すサーバーは、影響を受けるが大きくなることが予想されます。 実稼働環境に展開する前に、実稼働のニーズを表すラボでテストを実行して、KVAS を有効にした場合のパフォーマンスの影響をまず評価することを強くお勧めします。 KVAS を有効にすることによるパフォーマンスの影響が大きすぎる場合は、同じシステムで実行されている信頼されないコードから Exchange Server を分離する方が、アプリケーションにとって適切な緩和策かどうかを検討してください。
KVAS に加え、ブランチ ターゲット インジェクションの緩和策のハードウェア サポート (IBC) によるパフォーマンスへの影響の詳細については、こちらを参照してください。 Exchange Server を実行し、IBC ソリューションを展開しているサーバーは、IBC が有効な場合、パフォーマンスが大幅に低下する可能性があります。
ハードウェア サプライヤーから、マイクロコードの更新プログラムという形で製品に更新プログラムが提供されると考えられます。 Exchange に関する経験から、マイクロコードの更新プログラムを適用すると、パフォーマンスが低下することが予想されます。 パフォーマンス低下の程度は、適用されるシステムの構成要素と設計に大きく依存します。 マイクロソフトは、ソフトウェアベースでもハードウェアベースでも、単一の解決策だけではこのような脆弱性に対処できないと考えています。 すべての更新プログラムのパフォーマンスを評価し、システム設計とパフォーマンスの変動を考慮してから運用に移すことをお勧めします。 Exchange チームは、現時点のパフォーマンスの違いを考慮するために、お客様が使用するサイジング計算ツールを更新する予定はありません。 このツールによる計算結果では、これらの問題の解決に関連するパフォーマンスの変化は考慮されていません。 マイクロソフトは、マイクロソフト内の使用方法とお客様の使用方法に基づいて、このツールと、必要と思われる調整を引き続き評価します。
追加情報が入り次第、このセクションの記載内容を更新する予定です。
カーネル仮想アドレス シャドウ処理の有効化
Exchange Server は、物理システム、パブリックおよびプライベート クラウド環境の VM、および Windows オペレーティング システムなど、多くの環境で実行されています。 環境に関係なく、Exchange Server は物理システムまたは VM 上に配置されます。 この環境は、物理的でも仮想的でも、セキュリティ境界と呼ばれます。
境界内のすべてのコードがその境界内のすべてのデータにアクセスできる場合、操作は必要ありません。 それ以外の場合、境界はマルチテナントと言われます。 発見された脆弱性により、その境界内の任意のプロセスで実行されている任意のコードが、その境界内の他のデータが読み取られる可能性があります。 この問題は、アクセス許可が制限された環境でも発生します。 信頼されないコードを実行しているプロセスが境界に存在する場合、そのプロセスはこれらの脆弱性を使用して他のプロセスからデータが読み取られる可能性があります。
マルチテナント境界内の信頼されないコードから保護するために、次のいずれかを実行します。
-
信頼されないコードを削除します。
-
プロセス間の読み取りから保護するために KVAS を有効にします。 この場合、パフォーマンスが低下する影響があります。 詳細については、この資料の前半のセクションを参照してください。
Windows で KVAS を有効にする方法の詳細については、KB 4072698 を参照してください。
シナリオの例 (KVAS が強く推奨される場合)
シナリオ 1
Azure VM は、信頼されないユーザーが、制限付きのアクセス許可で実行される JavaScript コードを送信できるサービスを実行しています。 同じ VM 上で Exchange Server が実行され、そのような信頼されないユーザーがアクセスできないようにする必要があるデータが管理されています。 このような状況では、2 つのエンティティ間の開示から保護するために、KVAS が必要です。
シナリオ 2
Exchange Server をホストするオンプレミスの物理システムは、信頼されないサードパーティ製のスクリプトまたは実行可能ファイルを実行する可能性があります。 Exchange データがスクリプトや実行可能ファイルに対して開示されないように保護するには、KVAS を有効にする必要があります。
注: Exchange Server 内で拡張メカニズムが使用されているという理由だけでは、安全ではないということにはなりません。 このようなメカニズムは、各依存関係を理解し、信頼している限り、Exchange Server 内で安全に使用できます。 また、Exchange Server 上に構築された他の製品もあります。その中には、拡張メカニズムが適切に機能する必要がある製品もあります。 代わりに、最初の対応として、各使用方法を見直して、コードを理解し、信頼できるかどうかを判断します。 KVAS を有効にするとパフォーマンスに大きな影響があるため、お客様が KVAS を有効にする必要があるかどうかを判断する際にこのガイダンスを参考にしてください。
ブランチ ターゲット インジェクションの緩和策 (IBC) のハードウェア サポートを有効にする
IBC は、スペクターまたは GPZ の開示の “バリアント 2” とも呼ばれる CVE 2017-5715 を緩和します。
Windows で KVAS を有効にするこれらの手順で、IBC も有効にすることができます。 ただし、IBC には、ハードウェアの製造元からリリースされたファームウェアの更新プログラムが必要です。 Windows での保護を可能にする KB 4072698 の指示に加えて、ハードウェアの製造元からリリースされた更新プログラムを入手してインストールする必要があります。
シナリオの例 (IBC が強く推奨される場合)
シナリオ 1
Exchange Server をホストしているオンプレミスの物理システムで、信頼されないユーザーが任意の JavaScript コードをアップロードして実行できます。 このシナリオでは、プロセス間の情報漏えいを防ぐために IBC が強く推奨されます。
IBC ハードウェア サポートが存在しない状況では、信頼できないプロセスと信頼できるプロセスを別の物理または仮想マシンに分けることをお勧めします。
信頼されない Exchange Server 拡張メカニズム
Exchange Server には、拡張機能と拡張メカニズムが含まれています。 その多くは、Exchange Server を実行しているサーバー上で信頼されないコードの実行を禁止する API に基づいています。 トランスポート エージェントと Exchange 管理シェルでは、特定の状況で Exchange Server を実行しているサーバーで信頼されないコードの実行を許可する可能性があります。 トランスポート エージェントを除くどのような場合でも、拡張機能は使用する前に認証が必要です。 該当する場合は、最小限のバイナリ セットに制限された拡張機能を使用することをお勧めします。 また、Exchange Server と同じシステム上で任意のコードが実行されないように、サーバーへのアクセスを制限することをお勧めします。 個々のバイナリを信頼するかどうかを判断することをお勧めします。 信頼できないバイナリは、無効にするか、削除するようにします。 また、管理インターフェイスがインターネット上に公開されていないことを確認します。
この資料に記載されているすべてのサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。
