このページの本文へ移動

「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について

25版 2018年6月12日
富士通株式会社

平素より、PRIMERGY製品をご愛顧いただきまして、誠にありがとうございます。

投機的実行機能を持つ CPU に対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています (JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754) 。
以下の対処方法をご覧いただき、ご対応くださいますようお願いいたします。
その他の機種につきましては、富士通公開ホームページ(脆弱性情報)新規ウィンドウが開きます をご参照願います。

注 投機的実行機能(speculative execution):CPUの高速化手法の1つ。
分岐命令の先のプログラムを予測して実行する機能。現在使われている一般的なCPUにはほぼ搭載されている。

脆弱性の概要

今回の脆弱性は、悪意あるプログラムが攻撃対象のサーバ上で実行された場合に、従来保護されていたメモリに格納されているデータ(注)が参照可能となるものです。

  • データの改ざんの可能性はありません。
  • 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の装置上で実行することが必要になりますので、外部ネットワーク(インターネット等)からリモートアクセスをするだけではメモリデータを参照する行為はできません。

注 OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリ

対象機種

PDF PRIMERGY対象機種 / ソフト一覧(18.4KB)
[2018年6月12日更新] 注 更新箇所は色づけされています。

注 OSのパッチはBIOSと同時に適用する必要はありません。脆弱性リスクの軽減に効果がありますので随時適用いただけますよう、お願いいたします。

対処方法

BIOS、オペレーティングシステム及び下記に公開されている修正について、すべて適用が必要です。

BIOSのアップデート

注 BIOSのアップデート版数情報は随時更新します。詳細はPRIMERGY対象機種/ソフト一覧をご確認ください。

  1. PRIMERGY ダウンロード検索ページで、製品名、型名を選択し、カテゴリから“ファームウェア”を選択し、検索結果を表示します。
  2. 該当するBIOS書換データをダウンロードします。
  3. ダウンロードしたデータを解凍し、Readme.txt をよく読みアップデートします。

オペレーティングシステムの修正適用

各種オペレーティングシステムの修正情報につきましては、下記のページよりご確認ください。

アップデートによる影響について

今回のアップデートを適用することで、お客様の運用環境によっては性能への影響が発生する可能性があります。適用に当たってはご利用環境での事前確認を実施願います。

性能への影響については、CPUメーカー(Intel社)、OS提供元(マイクロソフト社、RedHat社)から提供されているパフォーマンスに関する調査結果を参考としてください。

脆弱性に関する詳細

詳細については以下のページをご覧ください。

注 本内容は予告なく変更される場合があります。あらかじめご了承ください。

ウイルス対策製品

マイクロソフト社が配布するセキュリティアップデートを適用するためには、各社ウイルス対策製品が当該セキュリティアップデートに予め対応していることを各社公開サイトにて確認下さい。対応している場合のみ適用できます。対応しない製品の場合はブルースクリーンの発生やシステム停止の可能性がありますので、ベンダの対応を待ってください。

適用可能と確認ができてから、セキュリティアップデートを適用ください。セキュリティアップデート適用手段は手動またはWindows UpdateまたはWSUSのいずれかになります。Windows UpdateまたはWSUSで適用する場合は、各ウイルス対策ベンダが用意する自動レジストリキー追加モジュールを事前に実行する必要があります。

各社の最新対応状況と情報公開サイトは、以下を確認ください。

Trend Micro社

自動レジストリキー追加モジュールは現在準備中(順次公開予定)。
以下の、対象製品ではブルースクリーンが発生しないことを検証済みであり、手動でのレジストリキー追加により自動Windows Updateが可能。

  • 対象製品
    ウイルスバスターコーポレートエディション、ウイルスバスタービジネスセキュリティ、ウイルスバスタービジネスセキュリティサービス、ServerProtect for Microsoft Windows、ServerProtect for Storage、ServerProtect for Network Appliance Filers、Deep Security
    注 最新の対応製品及びバージョンは、下記公開サイトで確認ください。
  • 公開サイト
    Trend Micro社サイト新規ウィンドウが開きます

Symantec社

エンタープライズ製品向けの更新された ERASER エンジン(117.3.0.358以上)は、2018年1月4日 rev 1 (シーケンス番号: 189937) 以降のウイルス定義に含まれています。

全てのインストールパッケージが、コンテンツなしか、ERASER エンジン 117.3.0.358 以上が含まれるコンテンツを含んでいるかどうかを確認してください。

STOP エラーが発生するリスクを軽減するために、 Windows Update は、古いバージョンの消去 (ERASER) エンジンがインストールされているかどうかを検出し、更新を非表示にします。

Windows Update が適用された後に、古い ERASER エンジンの適用を防ぐことはできません。手動スキャンまたは定時スキャン、アクティブスキャンによる STOP エラーが再発しないように、この定義を適用後は、この定義よりも前の定義にロールバックしないでください。

  • 対象製品
    Symantec Endpoint Protection
    注 最新の対応製品及びバージョンは、下記公開サイトで確認ください。
  • 公開サイト
    Symantec社サイト新規ウィンドウが開きます

McAfee社

手動でのレジストリキー作成により自動Windows Updateが可能。
自動でのレジストリキー追加モジュールは現在準備中。

  • 対象製品
    Data Exchange Layer、Data Loss Prevention、Drive Encryption、ePolicy Orchestrator、Endpoint Security、File and Removable Media Protection、Host IPS、McAfee Active Response、McAfee Agent、McAfee Application Control、McAfee Active Response、McAfee Client Proxy、MOVE、Native Encryption、SiteAdvisor Enterprise、System Information Reporter、Threat Intelligence Exchange (TIE) Client for VSE、VirusScan Enterprise、VirusScan Enterprise for Storage
    注 最新の対応製品及びバージョンは、下記公開サイトで確認ください。
  • 公開サイト
    McAfee 社サイト新規ウィンドウが開きます

Kaspersky社

カスペルスキーはこの問題に対応する定義データベースを2017年12月28日にリリースしすでに対応済みです。

2017年12月28日以降の定義データベースがダウンロードされたカスペルスキー製品では、マイクロソフト社のセキュリティ更新プログラムが適用されます。

定義データベースのアップデートは初期設定で自動で実行される設定になっておりますので、追加操作の必要はございません。手動で定義データベースをアップデートするには、製品のメイン画面にある [ アップデート ] ボタンをクリックしてください。

Cylance社

初期テストで対象製品は、互換性の観点で影響がないことが確認されております(一部報道で懸念されているブルースクリーン事象等も確認されていません)。

自動のWindowsアップデートにより今回のパッチを適用する場合には、レジストリ設定の変更が必要になります(マニュアルでのパッチ適用の場合には必要ありません)。Cylanceでは、レジストリ設定変更のための方法および専用ツールを提供しています。

また、共存するウイルス対策ソフトウェアなどがある場合は、当該製品も本セキュリティモジュールが適用可能であることを事前に確認して下さい。

本セキュリティモジュールを適用する際はまずテスト環境で確認されることを推奨します。

自動でのレジストリキー追加モジュールはサポートKBから提供済です。

  • 対象製品
    CylancePROTECT、CylanceOPTICS
    注 最新の対応製品及びバージョンは、下記公開サイトで確認ください。
  • 公開サイト
    Cylance社サイト新規ウィンドウが開きます

お問い合わせ窓口(専用窓口)

本件の内容、及び、対処方法に関するお問い合わせにつきましては、以下のお問い合わせ窓口にて対応させていただきます。
お問い合わせの内容を以下の宛先まで、メールにてご連絡くださいますようお願いいたします。別途、当社担当者より、お問い合わせ内容についてご回答させていただきます。

注 尚、問い合わせいただきました内容によっては、ご回答までに時間を要する場合がありますので、予めご了承願います。

【お問い合わせ窓口(専用窓口)の連絡先】
E-mail お問い合わせメールアドレス

FUJITSU Server PRIMERGYに関する資料請求・お見積もり・ご相談

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)