“投機的実行”機能を備えるCPUに脆弱性、Windows向けのセキュリティパッチが緊急公開

Windows 10 バージョン 1709向けのセキュリティ更新プログラム「KB4056892」

　米Microsoftは3日（現地時間）、Windows向けのセキュリティ更新プログラムを公開した。本更新プログラムはGoogleの“Project Zero”が公表したCPUの脆弱性への対処を含んだものだが、扱いには注意が必要だ。

　本脆弱性は“Meltdown（CVE-2017-5754）”“Spectre（CVE-2017-5753、CVE-2017-5715）”と呼ばれており、CPUの“投機的実行”機能に起因するという。“投機的実行（speculative execution）”とは、空いているリソースを活用して条件分岐の先をあらかじめ実行すること。CPUを高速化する手法の一つで、最近のCPUならばごく当たり前に実装されているものだが、サイドチャネル攻撃（物理的観察によりデータを盗み出す手法）により本来アクセスできないはずのデータを取得できてしまうという欠陥があるという。同一ホスト上の他の仮想マシンのデータへアクセスできる可能性があるため、仮想技術に依存するクラウド環境では特に深刻だ。

　“Meltdown”の影響範囲は1995年以降のIntel製CPUとされているが、他社製CPUに影響する可能性も否定できない。また、“Spectre”はIntel/AMD/ARM製CPUで実証されており、スマートフォンを含む多くのシステムに影響が及ぶという。

　本脆弱性を根本的に解決するためにはハードウェアの交換が必要となるが、修正プログラムの導入により攻撃のリスクを低減させることはできるようだ。Windowsでは以下のセキュリティ更新プログラムが提供されており、現在“Windows Update”などから入手できる。

• Windows 10 バージョン 1709（KB4056892）
• Windows 10 バージョン 1703（KB4056891）
• Windows 10 バージョン 1607, Windows Server 2016（KB4056890）
• Windows 8.1, Windows Server 2012 R2（KB4056898）
• Windows 7、Windows Server 2008 R2（KB4056897）

　ただし、本更新プログラムは一部のウイルス対策ソフトと互換性がないので注意。最悪の場合、ブルースクリーン（BSoD）エラーが発生し、Windowsが起動できなくなる恐れがある。本更新プログラムは“Microsoft Update カタログ”などからも入手できるが、“Windows Update”から適用できない場合は互換性が確認されていない可能性も考えられるので、導入は慎重に行う必要があるだろう。同社はウイルス対策ソフトのベンダーと協力しながら、すべての顧客ができるだけはやく更新プログラムを入手できるよう改善に取り組むとしている。