CPUの脆弱性「Meltdown」「Spectre」に関する状態を確認する

「Get-SpeculationControlSettings」でセキュリティ対策状態を可視化

本誌でも既報のとおり、年明け早々からIntelやAMDのCPU、ARMアーキテクチャのCPUなど、各プロセッサに脆弱性が存在することが報じられている。

詳細は別記事をご覧いただくとして、Microsoftは米国時間1月3日の時点で、脆弱性を緩和する更新プログラム「KB4056892」をリリースした。なお、Windows 10のバージョンによって更新プログラムは異なるため、古いバージョンをお使いの場合はMicrosoft Updateカタログのチェックをおすすめする。

まずは現状を確認する方法を紹介しよう。具体的にはWindows PowerShell(以下、PowerShell)でNuGetリポジトリを追加し、インストールしたパッケージを実行する。

• 「Win」+「X」キー→「A」キーと順に押すか、スタートメニューを右クリック/長押し→「Windows PowerShell(管理者)」をクリック/タップ

• Windows PowerShellが起動したら「Install-Module SpeculationControl」と入力して「Enter」キーを押す。途中2回ほど操作をうながされたら「Y」キー→「Enter」キーを押す

• 続いて実行ポリシーの設定やコマンドレットの有効化を行う。下記囲みの内容をWindows PowerShellにコピー&ペーストし、操作をうながされたら「A」キー→「Enter」キーを押す

$SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl

• 「Get-SpeculationControlSettings」と入力して「Enter」キーを押すと、現在のセキュリティ保護状態が示される

上図はKB4056892を適用する前の状態で、Meltdown(CVE-2017-5754)、Spectre(CVE-2017-5753 / CVE-2017-5715)に対する緩和策はすべて「False」となる。そして、更新プログラムを適用したのが下図だ。

• KB4056892適用後に同コマンドレットを実行した状態

Meltdownに対する緩和策は施されているが、Spectreについては4項目がFalseのまま。つまり、すべてを「True」にするには、PCベンダーによるファームウェアのアップデートが必要だ。

筆者が使っているデバイスのうち、デスクトップの自作PCはマザーボードベンダーが新しいUEFIをリリースしておらず、2台あるSurface Proの一方はバージョン「233.1933.769.0」が配信されたものの、Surface Pro LTE Advancedは「233.1903.770.0」のまま。

• Surface Pro(2017)上でコマンドレットを実行すると、すべてが「True」となったことを確認できる。ただしOSはWindows 10 Insider Previewである

Microsoftのサポートページによれば、未公開のアップデートは現在検証を行っている最中だという。

いずれにせよ、今回の脆弱性はOSだけで緩和することはできないため、PCベンダーによるファームウェア更新、ハードウェアベンダーによる最新ドライバ、ソフトウェアベンダーによる最新パッチといった情報をチェックしてほしい。

阿久津良和(Cactus)