年明け早々に明らかになったCPUに起因する情報漏えい問題「Meltdown & Spectre(メルトダウンとスペクタ)」への対応が迷走している。マイクロソフトは28日、実施した対策の一部を無効化するパッチ「KB4078130」を公開した。
Meltdown & Spectreは、3件の脆弱性からなる。これら全てに対処するためには、Windows用の更新プログラム(パッチ)を適用するとともに、パソコンメーカーなどから提供される、マイクロコードのパッチを適用する必要がある。
前者は、Windows Updateですでに提供済みだ。後者は、CPUメーカーが開発したCPU用のパッチで、パソコンメーカー各社が、BIOS(バイオス)アップデートなどの名で公開を進めていた。ところが、これを適用した一部のパソコンで、システムが突然再起動してしまう問題が相次ぎ、各社が公開済みのパッチを取り下げる事態となった。システムが突然再起動すると、未保存のデータは失われ、保存中の場合にはデータを破壊してしまうおそれがある。
今回マイクロソフトが公開した「KB4078130」は、適用した3つの脆弱性の緩和策のうち、再起動問題の要因となっている1件、CVE-2017-5715 (Spectre Variant 2:ブランチ ターゲットのインジェクション)の緩和策を無効化する。BIOSアップデート後に再起動問題が発生している方は、「KB4078130」を利用するとよいかもしれない。BIOSアップデートを実施していない方や、実施したが問題は発生していないという方には無用だ。
対象は、Windows 7/8.1/10のすべてのバージョンのWindowsで、Windows Updateカタログから手動でダウンロード・実行する。なお、レジストリの設定変更で無効化/有効化が行えるほか、BIOSのリカバリーや旧BIOSの再インストールなどの手段でパソコンのハードウェア側を以前の状態に戻すことでも、再起動問題に対処できる。問題を解決した新しいBIOSアップデートが提供されるまでの暫定措置として、検討していただきたい。
(2018/01/31 ネットセキュリティニュース)
【関連URL】
<マイクロソフト>
・Spectre、バリエーション 2 に対して対策を無効にする更新プログラム
https://support.microsoft.com/ja-jp/help/4078130/update-to-disable-mitigation-against-spectre-variant-2
・投機的実行のサイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス
https://support.microsoft.com/ja-jp/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
・ADV180002 | 投機的実行のサイドチャネルの脆弱性を緩和するガイダンス
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180002
・Microsoft Update カタログ「KB4078130」
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4078130
<パソコンメーカー>
・東芝
http://dynabook.com/assistpc/info/2018/201801_icpu.htm
・パナソニック
http://askpc.panasonic.co.jp/security/vuln/18-001.html
・富士通
http://azby.fmworld.net/support/security/information/sca201801/
・ACER
https://jp.answers.acer.com/app/answers/detail/a_id/53163
・DELL
https://www.dell.com/support/article/jp/ja/jpbsd1/sln308587/
・HP
https://support.hp.com/jp-ja/document/c05872418
・Lenovo
https://support.lenovo.com/jp/ja/solutions/len-18282
・NEC
http://121ware.com/navigate/support/info/20180110_1/
・VAIO
https://solutions.vaio.com/3316