このページの本文へ移動

「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について

27版 2018年7月27日
富士通株式会社

平素より、PRIMERGY製品をご愛顧いただきまして、誠にありがとうございます。

投機的実行機能を持つ CPU に対してサイドチャネル攻撃を行う手法が複数の研究者によって報告されています (JVNVU#93823979(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754) 。
以下の対処方法をご覧いただき、ご対応くださいますようお願いいたします。
その他の機種につきましては、富士通公開ホームページ(脆弱性情報)新規ウィンドウが開きます をご参照願います。

注 投機的実行機能(speculative execution):CPUの高速化手法の1つ。
分岐命令の先のプログラムを予測して実行する機能。現在使われている一般的なCPUにはほぼ搭載されている。

脆弱性の概要

今回の脆弱性は、悪意あるプログラムが攻撃対象のサーバ上で実行された場合に、従来保護されていたメモリに格納されているデータ(注)が参照可能となるものです。

  • データの改ざんの可能性はありません。
  • 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の装置上で実行することが必要になりますので、外部ネットワーク(インターネット等)からリモートアクセスをするだけではメモリデータを参照する行為はできません。

注 OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリ

対象機種

PDF PRIMERGY対象機種 / ソフト一覧(16.8KB)
[2018年7月27日更新]

注 OSのパッチはBIOSと同時に適用する必要はありません。脆弱性リスクの軽減に効果がありますので随時適用いただけますよう、お願いいたします。

対処方法

BIOS、オペレーティングシステム及び下記に公開されている修正について、すべて適用が必要です。

BIOSのアップデート

注 BIOSのアップデート版数情報は随時更新します。詳細はPRIMERGY対象機種/ソフト一覧をご確認ください。

  1. PRIMERGY ダウンロード検索ページで、製品名、型名を選択し、カテゴリから“ファームウェア”を選択し、検索結果を表示します。
  2. 該当するBIOS書換データをダウンロードします。
  3. ダウンロードしたデータを解凍し、Readme.txt をよく読みアップデートします。

オペレーティングシステムの修正適用

各種オペレーティングシステムの修正情報につきましては、下記のページよりご確認ください。

アップデートによる影響について

今回のアップデートを適用することで、お客様の運用環境によっては性能への影響が発生する可能性があります。適用に当たってはご利用環境での事前確認を実施願います。

性能への影響については、CPUメーカー(Intel社)、OS提供元(マイクロソフト社、RedHat社)から提供されているパフォーマンスに関する調査結果を参考としてください。

脆弱性に関する詳細

詳細については以下のページをご覧ください。

注 本内容は予告なく変更される場合があります。あらかじめご了承ください。

ウイルス対策製品

マイクロソフト社が配布するセキュリティアップデートを適用するためには、各社ウイルス対策製品が当該セキュリティアップデートに予め対応していることを各社公開サイトにて確認下さい。対応している場合のみ適用できます。対応しない製品の場合はブルースクリーンの発生やシステム停止の可能性がありますので、ベンダの対応を待ってください。

適用可能と確認ができてから、セキュリティアップデートを適用ください。セキュリティアップデート適用手段は手動またはWindows UpdateまたはWSUSのいずれかになります。Windows UpdateまたはWSUSで適用する場合は、各ウイルス対策ベンダが用意する自動レジストリキー追加モジュールを事前に実行する必要があります。

各社の最新対応状況と情報公開サイトは、以下を確認ください。

Trend Micro社

自動レジストリキー追加モジュールは現在準備中(順次公開予定)。
以下の、対象製品ではブルースクリーンが発生しないことを検証済みであり、手動でのレジストリキー追加により自動Windows Updateが可能。

  • 対象製品
    ウイルスバスターコーポレートエディション、ウイルスバスタービジネスセキュリティ、ウイルスバスタービジネスセキュリティサービス、ServerProtect for Microsoft Windows、ServerProtect for Storage、ServerProtect for Network Appliance Filers、Deep Security
    注 最新の対応製品及びバージョンは、下記公開サイトで確認ください。
  • 公開サイト
    Trend Micro社サイト新規ウィンドウが開きます

Symantec社

エンタープライズ製品向けの更新された ERASER エンジン(117.3.0.358以上)は、2018年1月4日 rev 1 (シーケンス番号: 189937) 以降のウイルス定義に含まれています。

全てのインストールパッケージが、コンテンツなしか、ERASER エンジン 117.3.0.358 以上が含まれるコンテンツを含んでいるかどうかを確認してください。

STOP エラーが発生するリスクを軽減するために、 Windows Update は、古いバージョンの消去 (ERASER) エンジンがインストールされているかどうかを検出し、更新を非表示にします。

Windows Update が適用された後に、古い ERASER エンジンの適用を防ぐことはできません。手動スキャンまたは定時スキャン、アクティブスキャンによる STOP エラーが再発しないように、この定義を適用後は、この定義よりも前の定義にロールバックしないでください。

  • 対象製品
    Symantec Endpoint Protection
    注 最新の対応製品及びバージョンは、下記公開サイトで確認ください。
  • 公開サイト
    Symantec社サイト新規ウィンドウが開きます

McAfee社

手動でのレジストリキー作成により自動Windows Updateが可能。
自動でのレジストリキー追加モジュールは現在準備中。

  • 対象製品
    Data Exchange Layer、Data Loss Prevention、Drive Encryption、ePolicy Orchestrator、Endpoint Security、File and Removable Media Protection、Host IPS、McAfee Active Response、McAfee Agent、McAfee Application Control、McAfee Active Response、McAfee Client Proxy、MOVE、Native Encryption、SiteAdvisor Enterprise、System Information Reporter、Threat Intelligence Exchange (TIE) Client for VSE、VirusScan Enterprise、VirusScan Enterprise for Storage
    注 最新の対応製品及びバージョンは、下記公開サイトで確認ください。
  • 公開サイト
    McAfee 社サイト新規ウィンドウが開きます

Kaspersky社

カスペルスキーはこの問題に対応する定義データベースを2017年12月28日にリリースしすでに対応済みです。

2017年12月28日以降の定義データベースがダウンロードされたカスペルスキー製品では、マイクロソフト社のセキュリティ更新プログラムが適用されます。

定義データベースのアップデートは初期設定で自動で実行される設定になっておりますので、追加操作の必要はございません。手動で定義データベースをアップデートするには、製品のメイン画面にある [ アップデート ] ボタンをクリックしてください。

Cylance社

初期テストで対象製品は、互換性の観点で影響がないことが確認されております(一部報道で懸念されているブルースクリーン事象等も確認されていません)。

自動のWindowsアップデートにより今回のパッチを適用する場合には、レジストリ設定の変更が必要になります(マニュアルでのパッチ適用の場合には必要ありません)。Cylanceでは、レジストリ設定変更のための方法および専用ツールを提供しています。

また、共存するウイルス対策ソフトウェアなどがある場合は、当該製品も本セキュリティモジュールが適用可能であることを事前に確認して下さい。

本セキュリティモジュールを適用する際はまずテスト環境で確認されることを推奨します。

自動でのレジストリキー追加モジュールはサポートKBから提供済です。

  • 対象製品
    CylancePROTECT、CylanceOPTICS
    注 最新の対応製品及びバージョンは、下記公開サイトで確認ください。
  • 公開サイト
    Cylance社サイト新規ウィンドウが開きます

お問い合わせ窓口

BIOS/ファームウェアのアップデートに関するお問い合わせは、以下の窓口までお問い合わせください。
注 本脆弱性の対象機種、および対処方法につきましては、当ページでご紹介しております。お問い合わせの前にご確認をお願いします。

  • SupportDeskご契約のお客様
    ご契約のお客様専用の電話でお問い合わせを受け付けております。
    SupprtDesk受付窓口は「ご利用の手引き」のご利用方法に記載された電話番号をご確認ください。
    窓口の連絡先がご不明な場合は、当社営業/販売会社までご連絡ください。
  • SupportDesk未契約のお客様
    富士通ハードウェア修理相談センター
    0120-422-297
    • お問い合わせ時間:月~金曜日 9時~17時
      (祝日および12月30日~1月3日をのぞく)
    • 音声ガイダンスにしたがって、お進みください。
      お問合せの際は誠にお手数ですが「BIOS、ファームウェアのアップデートについて」とお知らせください。
PRIMERGYの故障・修理の相談窓口
http://www.fujitsu.com/jp/support/bussiness/repaircenter/primergy/新規ウィンドウが開きます

FUJITSU Server PRIMERGYに関する資料請求・お見積もり・ご相談

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)