こんにちは。Windows プラットフォーム サポートです。
現在、CPU の脆弱性(Meltdown/Spectre)に関連したお問い合わせを、多くいただいております。
弊社にいただいております良くあるお問い合わせや、公開情報についてまとめさせていただきました。本ページは今後も随時更新される予定です。
なお、本件につきましては以下の弊社公開情報も合わせてご確認ください。
(脆弱性全般の情報)
(クライアント向け、サーバー向け適用ガイド)
- Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
- Windows Server guidance to protect against speculative execution side-channel vulnerabilities
(ウイルス対策ソフトとの互換性について)
(パフォーマンスへの影響について)
(一部の AMD デバイスでの問題について)
(Hyper-V 環境での対応手順について)
FAQ
[更新プログラムの検出について]
Q. ウイルス対策ソフトとの互換性を確認する QualityCompat のレジストリキーの用途は?
A. アンチウィルス アプリケーションが Windows のカーネルメモリに対してサポートされていない呼び出しを行う場合に発生する互換性の問題があり、この呼び出しの結果として、STOP エラー (ブルースクリーンとも呼ばれる) が発生し、デバイスが起動できない場合がございます。
このような互換性のないアンチウィルスアプリケーションによる問題を防ぐために、弊社では、2018 年 1 月 3 日にリリースいたしましたセキュリティ更新プログラムにつきましては、以下のレジストリを更新プログラムの検出条件としており、本レジストリの設定がない場合、Windows Update 及び WSUS による更新では当該の更新プログラムが検出されない仕組みとなっております。
キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
名前:cadca5fe-87d3-4b96-b7fb-a231484277cc
種類:REG_DWORD
値: 0x00000000
なお、本設定自体は CPU の脆弱性の問題に対する緩和策を含んでいる、今月の更新プログラムを Windows Update 及び WSUS にて検出するための設定であり、この設定自体が CPU の脆弱性の問題と直接の関係はありません。
Q. 更新プログラムを手動で適用しますが、QualityCompat を設定する必要はありますか?
A. Microsoft Update カタログからダウンロードした msuファイルを直接実行する場合、本レジストリの設定に関わらず、更新プログラムが適用されます。更新プログラムの適用前にウイルス対策アプリケーションが互換性を保持しているか、事前にお使いのウイルス対策プロバイダーに問い合わせの上、実施ください。
[更新プログラムの適用について]
Q. パッチ適用の前提条件はありますか。
A. 今回の更新プログラム固有の条件ではありませんが、一部の OS バージョンでは更新プログラム適用の前提が必要になります。
Windows 7 及び Windows Server 2008 R2では Service Pack 1 が適用されている必要があります。
Windows 8.1、Windows Server 2012 R2 及び Windows Storage Server 2012 R2 では KB2919355 が必要となります。
KB2919355 の適用にはさらに、KB2919442が前提となりますので、未適用の場合には、KB2919442を先にインストールください。
Windows 10 及び Windows Server 2016 には前提条件はございません。
Q. Windows Server 2008 と Windows Server 2012 ではどんな対策を取ることができますか?
A. 1/10 11:00 時点では、Windows Server 2008 及びWindows Server 2012 のセキュリティパッチは引き続きリリースを検討中でございます。
以下、公開情報からの引用となりますが、リリースに関する情報のアップデートがあり次第ご連絡いたします。
Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス
—– 抜粋 —–
Q3: Windows Server 2008 および Windows Server 2012 プラットフォームで更新プログラムを入手できないのはなぜですか。 修正プログラムはいつ入手できる予定ですか。
A3: ソフトウェアの更新プログラムでハードウェアの脆弱性に対処することは非常に困難であり、古いオペレーティング システムに緩和策を提供するには大幅なアーキテクチャの変更が必要です。 マイクロソフトは影響を受けるチップの製造元との協力を継続し、緩和策を提供する最善の方法を調査しています。
—– 抜粋 —–
[緩和策の有効化について]
Q. CPU の脆弱性の対策には、Windows の更新プログラム適用のほかに対策は必要ありますか?
A. 今回の脆弱性は CPU の脆弱性であり、利用できるすべての保護を受けるためには、OEM デバイスの製造元からリリースされた該当するプロセッサ マイクロコードまたはファームウェアの更新プログラムも適用する必要があります。
(詳細については、デバイスの製造元にご照会ください。)
Q. クライアント OS については、パッチ適用のみで Windows 上の緩和策が有効化されますか?
A. はい、パッチ適用のみで緩和策が有効化されます。
Q. サーバ OS については、パッチ適用のみで緩和策が有効化されますか?
A. いいえ、FeatureSettingsOverride および FeatureSettingsOverrideMask のレジストリを有効化しない限り、緩和策が有効化されません。更新プログラム適用と合わせてレジストリ設定を実施ください。
Q. 更新プログラムを適用せずに、FeatureSettingsOverrideとFeatureSettingsOverrideMaskのレジストリの変更だけ実施する必要はありますか?
A. 更新プログラムを適用しない場合上記レジストリの設定を実施いただく必要はございません。
Q. 更新プログラムの適用とレジストリ(FeatureSettingsOverrideとFeatureSettingsOverrideMask)の変更の順番はどっちが先でも問題ないですか?
A. はい、どちらが先でも問題ありません。ただし、FeatureSettingsOverride と FeatureSettingsOverrideMask の設定反映には再起動が必要となります。緩和策を有効化する際に 1 度の再起動としたい場合は、更新プログラム適用後の再起動とレジストリ設定後の再起動のタイミングを合わせてください。
Q. HyperVのホストとゲストへはどのように対応したらよいですか?
A. Hyper-V 環境への対応策については、以下をご確認ください。
– 公開技術情報
Protecting guest virtual machines from CVE-2017-5715 (branch target injection)
https://docs.microsoft.com/ja-jp/virtualization/hyper-v-on-windows/CVE-2017-5715-and-hyper-v-vms
[システムへの影響について]
Q. 更新を適用後、パフォーマンスは低下しますか?
A. ご利用の環境によりましては、パフォーマンスの低下が発生する可能性があります。具体的な影響内容はハードウェアの世代やチップ製造元の実装方法により異なりますため、実際の環境で発生するパフォーマンスの影響を評価し、必要に応じて調整いただくことを推奨いたします。