Applies ToAzure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

日付の変更

変更の説明

2023 年 4 月 20 日

  • MMIO レジストリ情報を追加しました

2023 年 8 月 8 日

  • CVE 番号が使用されていないため、CVE-2022-23816 に関するコンテンツを削除しました

  • "脆弱性" セクションに "Branch Type Confusion" が追加されました

  • "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" レジストリ セクションに詳細情報を追加しました

2023 年 8 月 9 日

  • "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" レジストリ セクションを更新しました

  • "CVE-2023-20569 | AMD CPU Return Address Predictor" を "概要" セクションに追加しました

  • "CVE-2023-20569 | AMD CPU Return Address Predictor" レジストリ セクションを追加しました

2024 年 4 月 9 日

  • CVE-2022-0001 を追加しました | Intel Branch History Injection

2024 年 4 月 16 日

  • 「複数の軽減策を有効にする」 セクションを追加しました

脆弱性

この資料は次の投機的実行の脆弱性を解決します。

Windows Update では、Internet Explorer と Edge の緩和策も提供される予定です。 このクラスの脆弱性に対してこれらの緩和策を今後も改善を続ける予定です。

このクラスの脆弱性に関する詳細については、以下を参照してください。

2019 年 5 月 14 日、Intel はマイクロアーキテクチャ データ サンプリンと呼ばれる投機的実行サイド チャネルの脆弱性の新しいサブクラスに関する情報を公開しました。これらの脆弱性は、ADV190013 | マイクロアーキテクチャ データ サンプリングに記載されていました。 これらの脆弱性には、次の CVE が割り当てられています。

重要: これらの問題は、Android、Chrome、iOS、macOS など、他のシステムにも影響します。 そのため、各ベンダーのガイダンスを参照することをおすすめします。

マイクロソフトは、これらの脆弱性を緩和するために役立つ更新プログラムをリリースしました。 利用できるすべての保護を受けるには、ファームウェア (マイクロコード) とソフトウェアの更新プログラムが必要です。 これには、デバイス OEM のマイクロコードが含まれる場合があります。 場合によっては、これらの更新プログラムをインストールするとパフォーマンスが低下します。 また、マイクロソフトのクラウド サービスをセキュリティで保護する措置も講じました。 これらの更新プログラムを展開することを強くお勧めします。

この問題の詳細については、次のセキュリティ アドバイザリや使用シナリオベースのガイダンスを参照して、脅威を緩和するために必要な操作を判断してください。

注: マイクロコードの更新プログラムをインストールする前に、Windows Update から最新の更新プログラムをすべてインストールすることをお勧めします。

2019 年 8 月 7 日、Intel は Windows カーネルの情報漏えいの脆弱性について詳細情報をリリースしました。 この脆弱性は、スペクター バリアント 1 投機的実行サイド チャネルの脆弱性のバリアント (亜種) であり、CVE-2019-1125 が割り当てられました。

2019 年 7 月 10 日、この問題を緩和するために Windows オペレーティング システムのセキュリティ更新プログラムをリリースしました。 業界で調整された開示日である 2019 年 8 月 7 日水曜日まで、この緩和策に関する文書の公開は保留されていたことにご留意ください。

Windows Update を有効にし、2019 年 7 月 10 日にリリースされたセキュリティ更新プログラムを適用したお客様は自動的に保護されています。 さらに必要な構成はありません。

注: この脆弱性は、お使いのデバイス製造元 OEM からリリースされるマイクロコードの更新プログラムを必要としません。

この脆弱性と適用可能な更新プログラムの詳細については、マイクロソフト セキュリティ更新プログラム ガイドを参照してください。

2019 年 11 月 13 日、Intel は、CVE-2019-11135 が割り当てられた Intel® Transactional Synchronization Extensions (Intel TSX) のトランザクションの非同期中止の脆弱性に関するテクニカル アドバイザリを公開しました。 Microsoft は、この脆弱性を軽減するための更新プログラムをリリースしました。また、Windows Server 2019 では OS 保護が既定で有効になっていますが、Windows Server 2016 以前の Windows Server OS エディションでは既定で無効になっています。

2022 年 6 月 14 日、ADV220002 | Intel Processor MMIO の古くなったデータの脆弱性に関するマイクロソフト ガイダンスを公開し、次の CVE を割り当てました。 

推奨される操作

脆弱性から保護するために、次の操作を実行することをおすすめします。

  1. マンスリー Windows セキュリティ更新プログラムなど、利用できるすべての Windows オペレーティング システムの更新プログラムを適用します。

  2. デバイスの製造元からリリースされている適用可能なファームウェア (マイクロコード) の更新プログラムを適用します。

  3. マイクロソフト セキュリティ アドバイザリ ADV180002ADV180012ADV190013ADV220002 と、このサポート技術情報に記載されている情報に基づいて、お客様の環境に対するリスクを評価してください。

  4. このサポート技術情報に記載されているアドバイザリとレジストリ キーの情報を参照し、必要に応じて対処してください。

注: Surface をご利用の場合は、Windows Update を介してマイクロコードの更新プログラムが提供されます。 Surface デバイスの最新のファームウェア (マイクロコード) 更新プログラムの一覧については、KB4073065 を参照してください。

2022 年 7 月 12 日に、CVE-2022-23825 | AMD CPU Branch Type Confusion を公開しました。分岐予測子のエイリアスにより、特定の AMD プロセッサが間違った分岐の種類を予測する可能性があることが説明されています。 この問題は、情報漏えいにつながる可能性があります。

この脆弱性から保護するには、2022 年 7 月以降の Windows 更新プログラムをインストールし、CVE-2022-23825 と、このナレッジ ベースの記事で提供されているレジストリ キー情報に応じて措置を講じることをお勧めします。

詳細については、「AMD-SB-1037 セキュリティ情報」 を参照してください。

2023 年 8 月 8 日に、CVE-2023-20569 | Return Address Predictor (インセプションとも呼ばれます) を公開しました。攻撃者が制御するアドレスで投機的実行を引き起こす可能性のある新しい投機的サイド チャネル攻撃について説明しています。 この問題は特定の AMD プロセッサに影響し、情報漏えいにつながる可能性があります。

この脆弱性から保護するには、2023 年 8 月以降の Windows 更新プログラムをインストールし、CVE-2023-20569 と、このナレッジ ベースの記事で提供されているレジストリ キー情報に応じて措置を講じることをお勧めします。

詳細については、「AMD-SB-7005 セキュリティ情報」 を参照してください。

2024 年 4 月 9 日に CVE-2022-0001 | Intel Branch History Injection を発行しました。これは、モード内 BTI の特定の形式であるブランチ履歴インジェクション (BHI) を記述します。 この脆弱性は、攻撃者がユーザー モードから保護モード (または VMX 非ルート/ゲスト モードからルート モード) に移行する前にブランチ履歴を操作する可能性がある場合に発生します。 この操作により、間接分岐予測子が間接分岐の特定の予測子エントリを選択する可能性があり、予測されたターゲットの開示ガジェットが一時的に実行されます。 これは、関連する分岐履歴に、以前のセキュリティ コンテキスト、特に他のプレディクター モードで行われた分岐が含まれている可能性があるため、可能である場合があります。

Windows Server と Azure Stack HCI の軽減策の設定

セキュリティ アドバイザリ (ADV) と CVE は、これらの脆弱性によってもたらされるリスクに関する情報を提供します。 また、脆弱性を特定し、Windows Server システムの軽減策の既定の状態を明らかにするうえでも役に立ちます。 次の表は、CPU マイクロコードの要件と、Windows Server に対する緩和策の既定の状態をまとめたものです。

CVE

CPU マイクロコード/ファームウェアが必要?

緩和策の既定の状態

CVE-2017-5753

X

既定で有効 (無効にするオプションはありません)

詳細については、ADV180002 を参照してください

CVE-2017-5715

はい

既定で無効。

詳細については、ADV180002 を参照してください。また、適用できるレジストリー キー設定については、このサポート技術情報を参照してください。

注: スペクター バリアント 2 (CVE-2017-5715) の軽減策が有効な場合、Windows 10 Version 1809 またはそれ以降を実行しているデバイスで "Retpoline" が既定で有効になります。 “Retpoline” の詳細については、ブログ記事「Mitigating Spectre variant 2 with Retpoline on Windows」(英語情報) を参照してください。

CVE-2017-5754

X

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。 Windows Server 2016 以前: 既定で無効になっています。

詳細については、ADV180002 を参照してください。

CVE-2018-3639

Intel: はい

AMD: いいえ

既定で無効。 詳細については ADV180012 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2018-11091

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。 Windows Server 2016 以前: 既定で無効になっています。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2018-12126

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。 Windows Server 2016 以前: 既定で無効になっています。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2018-12127

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。 Windows Server 2016 以前: 既定で無効になっています。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2018-12130

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。 Windows Server 2016 以前: 既定で無効になっています。

詳細については ADV190013 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2019-11135

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。 Windows Server 2016 以前: 既定で無効になっています。

詳細については、CVE-2019-11135 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2022-21123 (MMIO ADV220002 の一部)

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。  Windows Server 2016 以前: 既定で無効になっています。* 

詳細については、CVE-2022-21123 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2022-21125 (MMIO ADV220002 の一部)

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。  Windows Server 2016 以前: 既定で無効になっています。* 

詳細については、CVE-2022-21125 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2022-21127 (MMIO ADV220002 の一部)

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。  Windows Server 2016 以前: 既定で無効になっています。* 

詳細については、CVE-2022-21127 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2022-21166 (MMIO ADV220002 の一部)

Intel: はい

Windows Server 2019、Windows Server 2022、Azure Stack HCI: 既定で有効になっています。  Windows Server 2016 以前: 既定で無効になっています。* 

詳細については、CVE-2022-21166 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

CVE-2022-23825 (AMD CPU ブランチの種類の混乱)

AMD: いいえ

詳細については、「CVE-2022-23825」 を参照してください。また、適用できる レジストリー キー設定 については、この記事を参照してください。

CVE-2023-20569 (AMD CPU Return Address Predictor)

AMD: はい

詳細については、CVE-2023-20569 を参照してください。また、適用できるレジストリ キーの設定については、この記事を参照してください。

CVE-2022-0001

Intel: いいえ

既定で無効

詳細については、CVE-2022-0001 を参照してください。また、適用できるレジストリー キー設定については、この記事を参照してください。

* 以下のメルトダウンの軽減策ガイダンスに従ってください。

これらの脆弱性に対して利用できるすべての保護機能を利用するには、レジストリ キーを変更し、既定で無効なこれらの軽減策を有効にする必要があります。

これらの緩和策を有効にすると、パフォーマンスが低下する可能性があります。 パフォーマンスへの影響度は、物理ホストの特定のチップセットや実行中のワークロードなど、複数の要因によって変わります。 実際の環境で発生するパフォーマンスの影響を評価し、必要に応じて調整することをおすすめします。

次のいずれかのカテゴリに該当する場合、サーバーの危険度は高くなります。

  • Hyper-V ホスト: VM 間および VM からホストへの攻撃から保護する必要があります。

  • リモート デスクトップ サービス ホスト (RDSH): セッション間またはセッションからホストへの攻撃から保護する必要があります。

  • コンテナーなどの信頼されていないコード、データベース用の信頼されていない拡張機能、外部ソースから提供されたコードを実行する信頼されていない Web コンテンツまたはワークロードなどを実行している物理ホストまたは仮想マシン。 この場合、信頼されていないプロセスから別のプロセスへの攻撃、または信頼されていないプロセスからカーネルへの攻撃から保護する必要があります。

次のレジストリ キー設定を使用してサーバー上の軽減策を有効にして、変更を有効にするためにデバイスを再起動します。

注: 既定で無効な軽減策を有効にすると、パフォーマンスに影響する可能性があります。 実際のパフォーマンスへの影響は、デバイスの特定のチップセットや実行中のワークロードなど、複数の要因によって変わります。

レジストリ設定

セキュリティ アドバイザリ (ADV) および CVE に記載されているとおり、既定で有効ではない軽減策を有効にするために、次のレジストリ情報を提供しています。 さらに、Windows クライアントに該当する場合は軽減策を無効にしたいユーザー向けに、レジストリ キー設定も提供しています。

重要 このセクション、方法、またはタスクには、レジストリの変更方法を説明する手順が記載されています。 ただし、レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するには、レジストリを変更する前にレジストリをバックアップしてください。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、以下のマイクロソフト サポート技術情報を参照してください。

KB322756 Windows でレジストリをバックアップおよび復元する方法

重要 既定では、スペクター、バリアント 2 の軽減策 (CVE-2017-5715) が有効になっている場合、Retpoline は次のように構成されます:

- Retpoline 軽減策は、Windows 10 バージョン 1809 以降の Windows バージョンで有効になっています。

- Retpoline 軽減策は、Windows Server 2019 以降の Windows Server バージョンで無効になっています。

Retpoline の構成の詳細については、「Windows で Retpoline を使用してスペクター バリアント 2 を軽減する」を参照してください。

  • CVE-2017-5715 (スペクター バリアント 2)、CVE-2017-5754 (メルトダウン)、および CVE-2022-21123CVE-2022-21125CVE-2022-21127CVE-2022-21166 (MMIO) の軽減策を有効にするには

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

    変更を有効にするために、デバイスを再起動します。

  • CVE-2017-5715 (スペクター バリアント 2)、CVE-2017-5754 (メルトダウン)、および CVE-2022-21123CVE-2022-21125CVE-2022-21127CVE-2022-21166 (MMIO) の軽減策を無効にするには

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    変更を有効にするために、デバイスを再起動します。

注: "有効" と "無効" のどちらの設定でも、FeatureSettingsOverrideMask を 3 に設定することは正しいです。 (レジストリ キーの詳細については、「FAQ」セクションを参照してください。)

バリアント 2: (CVE-2017-5715 | ブランチ ターゲット インジェクション) の軽減策を無効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、デバイスを再起動します。

バリアント 2: (CVE-2017-5715 | ブランチ ターゲット インジェクション) の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、デバイスを再起動します。

AMD CPU では、既定で CVE-2017-5715 のユーザーとカーネル間の保護機能は無効です。 CVE-2017-5715 に対する追加の保護機能を利用するには、この緩和策を有効にする必要があります。  詳細については、ADV180002 の FAQ #15 を参照してください。

AMD プロセッサ上で CVE 2017-5715 の他の保護機能と共にユーザーとカーネル間の保護機能を有効にする:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、デバイスを再起動します。

CVE-2018-3639 (投機的ストア バイパス)、CVE-2017-5715 (スペクター バリアント 2)、CVE-2017-5754 (メルトダウン) の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、デバイスを再起動します。

CVE-2018-3639 (投機的ストア バイパス) の軽減策と、CVE-2017-5715 (スペクター バリアント 2) および CVE-2017-5754 (メルトダウン) の軽減策を無効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、デバイスを再起動します。

AMD プロセッサでは、既定で CVE-2017-5715 のユーザーとカーネル間の保護機能は無効です。 CVE-2017-5715 に対する追加の保護機能を利用するには、この緩和策を有効にする必要があります。  詳細については、ADV180002 の FAQ #15 を参照してください。

AMD プロセッサ上で CVE 2017-5715 に対する他の保護機能と CVE-2018-3639 (投機的ストア バイパス) に対する保護機能と共にユーザーとカーネル間の保護機能を有効にする:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、デバイスを再起動します。

ハイパースレッディングを無効にせずに、投機的ストア バイパスの無効化 (SSBD) [CVE-2018-3639] と L1 Terminal Fault (L1TF) [CVE-2018-3615、CVE-2018-3620CVE-2018-3646] を含むスペクター [CVE-2017-5753 & CVE-2017-5715]、メルトダウン [CVE-2017-5754] のバリアント、MMIO (CVE-2022-21123CVE-2022-21125CVE-2022-21127CVE-2022-21166) と共に、Intel Transactional Synchronization Extensions (Intel TSX) のトランザクション非同期中止の脆弱性 (CVE-2019-11135) およびマイクロアーキテクチャ データ サンプリング (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130) の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、デバイスを再起動します。

ハイパースレッディングを無効にして、投機的ストア バイパスの無効化 (SSBD) [CVE-2018-3639] と L1 Terminal Fault (L1TF) [CVE-2018-3615CVE-2018-3620CVE-2018-3646] を含むスペクター [CVE-2017-5753CVE-2017-5715] およびメルトダウン [CVE-2017-5754] のバリアントと共に、Intel Transactional Synchronization Extensions (Intel TSX) のトランザクション非同期中止の脆弱性 (CVE-2019-11135) およびマイクロアーキテクチャ データ サンプリング (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130) の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hyper-V 機能がインストールされている場合は、次のレジストリ設定を追加します。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hyper-V ホストで、ファームウェアの更新プログラムを適用済みの場合: すべての仮想マシンを完全にシャットダウンします。 こうすることで、VM を起動する前に、ファームウェア関連の緩和策をホストに適用できます。 そのため、VM は再起動時にも更新されます。

変更を有効にするために、デバイスを再起動します。

投機的ストア バイパスの無効化 (SSBD) [CVE-2018-3639] と L1 Terminal Fault (L1TF) [CVE-2018-3615CVE-2018-3620CVE-2018-3646] を含むスペクター [CVE-2017-5753CVE-2017-5715] およびメルトダウン [CVE-2017-5754] のバリアントと共に、Intel Transactional Synchronization Extensions (Intel TSX) のトランザクション非同期中止の脆弱性 (CVE-2019-11135) およびマイクロアーキテクチャ データ サンプリング (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130) の軽減策を無効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

変更を有効にするために、デバイスを再起動します。

AMD プロセッサで CVE-2022-23825 の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

完全に保護するには、ハイパースレッディング (同時マルチスレッド (SMT) とも呼ばれます) を無効にする必要がある場合もあります。 Windows デバイスの保護に関するガイダンスについては、KB4073757 を参照してください。

AMD プロセッサで CVE-2023-20569 の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Intel プロセッサで CVE-2022-0001 の軽減策を有効にするには:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

複数の軽減策を有効にする

複数の軽減策を有効にするには、各軽減策の REG_DWORD 値をまとめて追加する必要があります。

次に例を示します。

トランザクションの非同期アボート脆弱性、マイクロアーキテクチャのデータサンプリング、スペクター、メルトダウン、MMIO、投機的ストアのバイパス無効化 (SSBD)、ハイパースレッディングを無効にした場合の L1 Terminal Fault(L1TF) に対する緩和策

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

8264 (10 進数) = 0x2048 (16 進数)

他の既存の設定と共に BHI を有効にするには、現在の値と 8,388,608 (0x800000) のビット単位の OR を使用する必要があります。 

0x800000 と 0x2048 (10 進数では8264) の OR を取ると、8,396,872 (0x802048) になります。 FeatureSettingsOverrideMask と同じです。

Intel プロセッサで CVE-2022-0001 の軽減策

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

統合された軽減策

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

トランザクションの非同期アボート脆弱性、マイクロアーキテクチャのデータサンプリング、スペクター、メルトダウン、MMIO、投機的ストアのバイパス無効化 (SSBD)、ハイパースレッディングを無効にした場合の L1 Terminal Fault(L1TF) に対する緩和策

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Intel プロセッサで CVE-2022-0001 の軽減策

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

統合された軽減策

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

保護が有効であることを確認する

保護が有効な状態であることを確認できるようにするために、デバイスで実行できる PowerShell スクリプトを公開しました。 次のいずれかの方法を使用して、スクリプトをインストールして実行します。

PowerShell モジュールをインストールする:

PS> Install-Module SpeculationControl

保護が有効であることを確認する PowerShell モジュールを実行します。

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Technet ScriptCenter から PowerShell モジュールをインストールします。

  1. https://aka.ms/SpeculationControlPS にアクセスします。

  2. SpeculationControl.zip をローカル フォルダーにダウンロードします。

  3. ローカル フォルダーにコンテンツを展開します。 例: C:\ADV180002

保護が有効であることを確認する PowerShell モジュールを実行します。

PowerShell を起動し、上記の例を使用して、次のコマンドをコピーして実行します。

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

PowerShell スクリプトの出力の詳細な説明についてはKB4074629 を参照してください。 

よく寄せられる質問

お客様のデバイスに悪影響が及ぶことを防ぐために、すべてのお客様には 2018 年 1 月および 2 月にリリースされた Windows セキュリティ更新プログラムが提供されていません。 詳細については、 KB407269 を参照してください。

マイクロコードはファームウェアの更新プログラムを介して配布されます。 お使いのコンピューターに適した更新プログラムが含まれるファームウェアのバージョンについては、お使いの OEM にお問い合わせください。

システムのバージョンから実行中のワークロードまで、パフォーマンスに影響を与える複数の変数があります。 一部のシステムでは、パフォーマンスの影響は小さくなります。 その他のシステムでは、パフォーマンスの影響は大きくなります。

お使いのシステムに対するパフォーマンスの影響を評価し、必要に応じて調整することをお勧めします。

仮想マシンを実行しているホストが適切に保護されていることを確認するには、この資料の仮想マシンに関するガイダンスに加え、サービス プロバイダーに問い合わせる必要があります。 Azure で実行されている Windows Server の仮想マシンについては、Azure の投機的実行サイドチャネルの脆弱性を軽減するためのガイダンスを参照してください。 Azure Update Management を使用してゲスト VM でこの問題を軽減する方法については、KB4077467 を参照してください。

Windows Server 2016 および Windows Server 10 Version 1709 用 Windows Server コンテナー イメージ用にリリースされた更新プログラムには、これらの脆弱性の緩和策が含まれています。 この他に必要な構成はありません。 ただし、適切な軽減策を有効にするようにこれらのコンテナーが実行されているホストを構成する必要があります。

いいえ。任意の順序でインストールできます。

はい。ファームウェア (マイクロコード) の更新後と、さらにシステムの更新後に再起動する必要があります。

レジストリ キーの詳細は次のとおりです。

FeatureSettingsOverride は、既定の設定を上書きし、無効にする緩和策を制御するビットマップを表します。 ビット 0 は、CVE-2017-5715 に対応する緩和策を制御します。 ビット 1 は、CVE-2017-5754 に対応する軽減策を制御します。 緩和策を有効にする場合、これらのビットは 0 に設定され、緩和策を無効にする場合、1 に設定されます。

FeatureSettingsOverrideMask は、FeatureSettingsOverride と併用されるビットマップ マスクを表します。  この場合、使用できる軽減策に対応する最初の 2 ビットを示す値 3 (2 進法または 2 を底とする記数法では 11 と表されます) を使用します。 緩和策を有効にする場合と無効にする場合のどちらでも、このレジストリ キーは 3 に設定します。

MinVmVersionForCpuBasedMitigations は Hyper-V ホスト用です。 このレジストリ キーには、更新されたファームウェア機能 (CVE-2017-5715) を使用することが必要な最小限の VM バージョンが定義されています。 すべての VM バージョンを対象にするために 1.0 に設定します。 Hyper-V ホスト以外では、このレジストリ値は無視されます (無害です)。 詳細については、「CVE-2017-5715 (分岐先インジェクション) からのゲスト仮想マシンの保護」を参照してください。

はい。レジストリ設定を適用してから、2018 年 1 月の関連する修正プログラムをインストールしても、悪影響はありません。

詳細についてはスクリプトの出力の詳細については、「KB4074629: SpeculationControl PowerShell スクリプトの出力について」を参照してください。

はい。ファームウェアの更新プログラムがまだリリースされていない Windows Server 2016 Hyper-V ホスト向けに、VM 間または VM からホストへの攻撃を緩和できる代替のガイダンスを公開しています。 詳細については、「投機的実行のサイドチャネルの脆弱性から Windows Server 2016 Hyper-V ホストを保護するための代替手段」を参照してください。

セキュリティのみの更新プログラムは累積的ではありません。 オペレーティング システムのバージョンによっては、完全な保護のために複数のセキュリティ更新プログラムをインストールする必要があります。 通常、2018 年 1 月、2 月、3 月、および 4 月の更新プログラムをインストールする必要があります。 AMD プロセッサが搭載されているシステムの場合、次の表に示す追加の更新プログラムが必要です。

オペレーティング システムのバージョン

セキュリティ更新プログラム

Windows 8.1、Windows Server 2012 R2

KB4338815 - マンスリー ロールアップ

KB4338824- セキュリティのみ

Windows 7 SP1、Windows Server 2008 R2 SP1、または Windows Server 2008 R2 SP1 (Server Core インストール)

KB4284826 - マンスリー ロールアップ

KB4284867 - セキュリティのみ

Windows Server 2008 SP2

KB4340583 - セキュリティ更新プログラム

これらのセキュリティのみの更新プログラムは、リリース順にインストールすることをお勧めします。

注: この FAQ の以前のバージョンでは、2 月のセキュリティのみの更新プログラムには 1 月にリリースされたセキュリティ修正プログラムが含まれている、と誤って記載されていました。 実際は含まれていません。

いいえ。 セキュリティ更新プログラム KB 4078130 は、マイクロコードのインストール後に発生する予期しないシステムの動作、パフォーマンスの問題、予期しない再起動を防ぐことを目的とした修正プログラムでした。 Windows クライアント オペレーティング システムにセキュリティ更新プログラムを適用すると、3 つの軽減策がすべて有効になります。 Windows Server オペレーティング システムでは、適切なテストの実行後に緩和策を有効にする必要があります。 詳細については、KB4072698 を参照してください。

この問題は KB4093118 で解決されています。

2018 年 2 月、Intel は検証を完了し、新しい CPU プラットフォーム用のマイクロコードのリリースを開始したことを発表しました。 Microsoft では、スペクター バリアント 2 (CVE-2017-5715 | ブランチ ターゲット インジェクション) に対して、Intel が検証済みのマイクロコードの更新プログラムを提供しています。 KB4093836 には、Windows バージョン別のサポート技術情報一覧が記載されています。 また、各サポート技術情報には、リリースされている Intel 製マイクロコードの更新プログラムが CPU 別に記載されています。

2018 年 1 月 11 日、Intelは、スペクター バリアント 2 (CVE-2017-5715 | ブランチ ターゲット インジェクションhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715) に対応することを意図していた、最近リリースされたマイクロコードの問題について報告 しました。 具体的には、このマイクロコードにより、“想定よりも再起動回数が多くなり、他の予期しないシステム動作” が発生し、その結果として “データの損失や破損" が発生する可能性があることが Intel から報告されました。これまでの経験では、システムが不安定になると、状況によってデータの損失や破損が発生する可能性があります。 1 月 22 日、Intel はお客様に対して、影響を受けるプロセッサに現行のマイクロコード バージョンを展開しないことを勧めました。一方、Intel は更新された解決策の追加テストを実行しています。 マイクロソフトでは、Intel が現行のマイクロコード バージョンの影響を引き続き調査していることを把握しています。 決定事項を知らせるガイダンスを常に確認することをお客様にお勧めします。

Intel は新しいマイクロコードをテスト、更新、展開していますが、本日、マイクロソフトは定例外 (OOB) の更新プログラム KB 4078130 をリリースします。この更新プログラムで、特に CVE-2017-5715 に対する軽減策のみを無効にすることができます。 マイクロソフトのテストでは、この更新プログラムによって、説明されている動作が回避されることがわかっています。 デバイスの詳細な一覧については、Intel のマイクロコード リビジョン ガイダンス (英語情報) を参照してください。 この更新プログラムは、 Windows 7 Service Pack 1 (SP1)、Windows 8.1、および Windows 10 のすべてのバージョンのクライアントとサーバーに対応しています。 影響を受けるデバイスを実行している場合は、Microsoft Update カタログ Web サイトからダウンロードして、この更新プログラムを適用できます。 このペイロードを適用すると、CVE-2017-5715 の脆弱性 に対する緩和策のみが無効になります。

今回、このスペクター バリアント 2 (CVE-2017-5715 | ブランチ ターゲットのインジェクション) がユーザーに対する攻撃に使用されたという既知の報告はありません。 お使いのデバイスについてこの予期しないシステム動作が解決したと Intel から報告された場合は、必要に応じて CVE-2017-5715 に対する緩和策を再び有効にすることを Windows をお使いのお客様にお勧めします。

Intel は検証を完了し、新しい CPU プラットフォーム用のマイクロコードのリリースを開始したことを 2018 年 2 月に発表しました。 Microsoft は、スペクター バリアント 2 (CVE-2017-5715 | ブランチ ターゲット インジェクション) に対して Intel による検証済みのマイクロコードの更新プログラムをリリースしています。 KB4093836 には、Windows バージョン別のサポート技術情報一覧が記載されています。 また、サポート技術情報一覧には、リリースされている Intel 製マイクロコードの更新プログラムが CPU 別に記載されています。

詳細については、「AMD Security Updates」(英語情報)「AMD Architecture Guidelines around Indirect Branch Control」(英語情報) を参照してください。 これらは OEM ファームウェア チャネルから入手できます。

スペクター バリアント 2 (CVE -2017-5715 | ブランチ ターゲット インジェクション) に対して、Intel が検証済みのマイクロコードの更新プログラムを提供しています。 Windows Update から最新の Intel 製マイクロコードの更新プログラムを入手するには、Windows 10 2018 年 4 月更新プログラム (バージョン 1803) にアップグレードする前に、Windows 10 オペレーティング システムを実行しているデバイスに Intel 製マイクロコードをインストールしておく必要があります。

システムのアップグレード前にデバイスにインストールされていなかった場合は、マイクロコードの更新プログラムを Microsoft Update カタログから直接入手することもできます。 Intel 製マイクロコードは、Windows Update、Windows Server Update Services (WSUS)、または Microsoft Update カタログを介して入手できます。 詳しい情報とダウンロードの手順については、KB4100347 をご覧ください。

「ADV180012 | 投機的ストア バイパスに関するマイクロソフト ガイダンス」の “推奨される操作” と “FAQ” を参照してください。

SSBD の状態を確認するために、影響を受けるプロセッサ、SSBD のオペレーティング システムの更新プログラムの状態、プロセッサ マイクロコードの状態 (該当する場合) を検出できるように Get-SpeculationControlSettings PowerShell スクリプトが更新されています。 PowerShell スクリプトの詳細と入手については、KB4074629 を参照してください。

2018 年 6 月 13 日、Lazy FP State Restore として知られる、サイド チャネル投機的実行に関係する新たな脆弱性が発表され、CVE-2018-3665 が割り当てられました。 この脆弱性と推奨される操作の詳細については、セキュリティ アドバイザリ「ADV180016 | Lazy FP State Restore に関するマイクロソフト ガイダンス」を参照してください。

 Lazy Restore FP Restore に必要な構成 (レジストリ) 設定はありません。

Bounds Check Bypass Store (BCBS) は 2018 年 7 月 10 日に公開され、CVE-2018-3693 が割り当てられました。 マイクロソフトでは、BCBS は Bounds Check Bypass (バリアント 1) と同じ脆弱性クラスに属すると考えています。 マイクロソフトのソフトウェアにおける BCBS インスタンスは現在認識されていません。 しかし、マイクロソフトはこの脆弱性クラスを引き続き調査しており、必要に応じて業界のパートナーと協力して緩和策をリリースします。 研究者の皆様には、利用可能な BCBS インスタンスを含む、関連する調査結果をマイクロソフトの投機的実行のサイドチャネルに関する報奨金プログラムに提出いただけますよう引き続きよろしくお願いいたします。 ソフトウェア開発者の皆様は、投機的実行サイド チャネルの 「C++ 開発者ガイダンスで BCBS 用に更新された開発者ガイダンス」を参照することをおすすめします。 

2018 年 8 月 14 日、L1 Terminal Fault (L1TF) が発表され、複数の CVE が割り当てられました。 これらの投機的実行のサイドチャネルの脆弱性が悪用されると、信頼される境界全体のメモリの内容を読み取られる可能性があり、悪用された場合、情報漏えいにつながる可能性があります。 構成されている環境によっては、攻撃者がこれらの脆弱性をトリガーすることができるベクトルが複数存在します。 L1TF は Intel® Core® プロセッサと Intel® Xeon® プロセッサに影響を及ぼします。

この脆弱性の緩和に対するマイクロソフトのアプローチを含む、L1TF と影響を受けるシナリオの詳細ビューに関する詳細については、次のリソースを参照してください。

ハイパースレッディングを無効にする手順は OEM ごとに異なりますが、通常は BIOS またはファームウェアのセットアップ ツールと構成ツールの一部です。

64 ビット ARM プロセッサをご利用の場合は、変更を有効にするために、CVE-2017-5715 | ブランチ ターゲット インジェクション (スペクター バリアント 2) を軽減する ARM64 オペレーティング システムの保護機能はデバイス OEM の最新のファームウェア更新プログラムを必要とするため、ファームウェアのサポートについてデバイス OEM に確認する必要があります。

Azure ガイダンスについては、この記事「Azure での投機的実行のサイド チャネルの脆弱性を軽減するためのガイダンス」を参照してください。

Retpoline の有効化の詳細については、マイクロソフトのブログ記事「Mitigating Spectre variant 2 with Retpoline on Windows (英語情報)」を参照してください。

この脆弱性の詳細については、Microsoft セキュリティ ガイド「CVE-2019-1125 | Windows カーネル情報漏えいの脆弱性」を参照してください。

この情報漏えいの脆弱性が Microsoft のクラウド サービス インフラストラクチャに影響を与えている事例は把握していません。

マイクロソフトではこの問題を認識してすぐに、問題を迅速に解決して更新プログラムをリリースすることに取り組みました。 マイクロソフトは、お客様をより確実に保護するために、調査会社と業界パートナー双方との密接なパートナーシップを固く信頼しており、脆弱性の開示方法の取り決めに従って 8 月 7 日水曜日まで詳細を公表していませんでした。

詳細なガイダンスについては、「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください。

詳細なガイダンスについては、「Windows を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」を参照してください。

その他のガイダンスについては、「Guidance for disabling Intel Transactional Synchronization Extensions (Intel TSX) capability」(英語情報) を参照してください。

参考文献

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。