Intelプロセッサ向けマイクロコードアップデートのニュースをファクトチェック!その知識、ホントに正しい? Windowsにまつわる都市伝説(117)

2018年8月22日、MicrosoftがWindows UpdateやMicrosoft Updateカタログを通じて、Intelプロセッサの脆弱性に対策する「Intelマイクロコードアップデート」の提供を開始したというニュースを目にした人は多いでしょう。そのニュース、あるいはそのニュースの元であるMicrosoftのサポート情報をうのみにして、対策したつもりになってはいませんか。

» 2018年08月28日 05時00分 公開
[山市良テクニカルライター]
「Windowsにまつわる都市伝説」のインデックス

Windowsにまつわる都市伝説

8月22日、更新プログラムをチェックすると確かに検出、適用されたけど……

 2018年8月22日、Windows 10のWindows Updateで「更新プログラムのチェック」をクリックすると、ある1つの更新プログラムが検出され、再起動を伴うインストールが行われました。その更新プログラムとは、IntelがOEMやパートナー向けにリリースしたIntelプロセッサ向けマイクロコードのアップデートを、MicrosoftがWindows Updateを通じて配布したものでした。

 このマイクロコードアップデートは、簡単に言ってしまえば“Spectre”などの名前で知られるIntelプロセッサの重大な脆弱(ぜいじゃく)性問題に、ファームウェアではなく、OS側からソフトウェア的に対策するものです(OEMが提供していれば、ファームウェアの更新による対策も可能です)。

 さて、今回取り上げるニュースとは「“Spectre Variant 3a/4”と“L1TF(L1 Terminal Fault)”として知られる脆弱性対策のためのIntelプロセッサ向けマイクロコードアップデートを、Windows 10 バージョン1803(April 2018 Update)向けにはWindows Updateを通じて提供し、その他のWindows 10向けはMicrosoft Updateカタログから入手可能」ということを伝えるものです。おそらく、このニュースのソースは、8月22日に公開された次のサポート情報と想像します(画面1)。

画面1 画面1 Intelプロセッサ向けマイクロコードアップデートの概要を説明するMicrosoftのサポート情報(2018年8月22日公開)

 筆者も当初は、このサポート情報で説明されているマイクロコードアップデートが、Windows Updateを通じて更新プログラムとして配布されたのだと思っていました。しかし、後で「更新の履歴」を確認すると、KB番号が全く異なりますし、更新プログラムの名前も「2018-08」ではなく「2018-07」から始まっていることも気になりました(画面2)。

画面2 画面2 Windows 10 バージョン1803にWindows Updateで配布されたのは「KB4346084」ではなく「KB4100347」だった

 本稿では、サポート情報「Summary of Intel microcode updates」で説明されている8月22日にリリースされた更新プログラム(KB4346084、KB4346085、KB4346086、KB4346087、B4346088)を便宜上、「2018年8月のマイクロコードアップデート」と呼ぶことにします。また、これと区別するために、Windows Updateで8月22日に配布された更新プログラム(KB4100347、他は後述)を「2018年7月のマイクロコードアップデート」と呼ぶことにします。

2018年7月のマイクロコードアップデートはWindows 10の全バージョン配信

 実は、現在サポートされている全てのWindows 10/Windows Server 2016以降で、8月22日以降(より新しい更新が提供されるまで)に「更新プログラムのチェック」をクリックすると、2018年7月のマイクロコードアップデートが配信される状況になっています(自動更新では検出されない可能性があります)。具体的には、以下の更新プログラムです。

  • KB4100347:Windows 10 バージョン1803(SAC)、Windows Server, version 1803(SAC)
  • KB4090007:Windows 10 バージョン1709(SAC)、Windows Server, version 1709(SAC)
  • KB4091663:Windows 10 バージョン1703(SAC)(画面3
  • KB4091664:Windows 10 バージョン1607(SAC/LTSB)、Windows Server 1607(LTSC)(画面4
  • KB4091666:Windows 10初期リリース(LTSB)

画面3 画面3 Windows 10 バージョン1703には「KB4091663」の2018年7月のマイクロコードアップデートが配信
画面4 画面4 Windows Server 2016には「KB4091664」の2018年7月のマイクロコードアップデートが配信

 2018年7月のマイクロコードアップデートは、同じKB番号で2018年5月に初めてリリースされ、Microsoft Updateカタログでダウンロード提供されました。2018年7月にも同じKB番号で更新版が提供されました。

 現在、Microsoft Updateカタログでこれらの更新プログラムの最終更新日を確認すると、2018年8月21日となっているので、さらに何らかの変更が行われ、8月22日に再リリースされたようです。これまでは、Windows Updateを実行してもこれらの更新プログラムは検出されませんでしたが、再リリースされたものが8月22日からWindows 10/Windows Server 2016の全バージョンに配布されたように見えます。

Windows Updateで配布されたものは“Spectre Variant 2”対策のみ

 更新プログラムのサポート情報を見ると分かりますが、2018年7月のマイクロコードアップデートは、Intelプロセッサの以下の脆弱性に対策するものです。

  • Spectre Variant 2(CVE 2017-5715 "Branch Target Injection”)

 そして、2018年8月のマイクロコードアップデートでは、Spectre Variant 2対策に加えて、Skylake/Kaby Lake/Coffee Lakeのコード名で知られる第6〜第8世代のIntelプロセッサに影響する以下の3つの脆弱性への対策が含まれます。

  • Spectre Variant 3a(CVE-2018-3640 “Rogue System Register Read: RSRE”)
  • Spectre Variant 4(CVE-2018-3639 “Speculative Store Bypass: SSB”)
  • L1TF(CVE-2018-3615、CVE-2018-3646 “L1 Terminal Fault”)

  サポート情報「Summary of Intel microcode updates」では、「Windows 10 バージョン1803およびWindows Server, version 1803向けの『KB4346084』は、Windows Updateで配布される」というように説明されています。

 しかし、「KB4346084」のリンク先のサポート情報を確認すると、Microsoft Updateカタログでのみ提供されているように説明されています。実際の動きと照らし合わせれば、「Summary of Intel microcode updates」のサポート情報には記述ミス(あるいは以前の内容の修正漏れ)があるようです。

 筆者は第6〜第8世代のIntelプロセッサ環境がないので、もしかすると「Summary of Intel microcode updates」の通り、Windows 10 バージョン1803やWindows Server, version 1803にはWindows Updateで「KB4346084」が配布されているのかもしれません。

 ですが、筆者は記述ミスだと強く信じています。なぜなら、「KB4346084」は「Windows Server Update Services(WSUS)」でも利用可能であるように記述されていますが、8月23日時点でWSUSサーバをMicrosoft Updateと同期して最新状態にしても、「KB4346084」が見当たらなかったからです。代わりに同期されたのは、Windows 10 バージョン1607以降/Windows Server 2016以降向けの2018年7月のマイクロコードアップデート(リリース日は2018年8月22日)でした(画面5)。

画面5 画面5 WSUSでも利用可能とされている「KB4346084」は実際にはWSUSに同期されない。代わりに2018年7月のマイクロコードアップデートが同期された

ニュース記事のファクトチェック!

 「“Spectre Variant 3a/4”と“L1TF”として知られる脆弱性対策のためのIntelプロセッサ向けマイクロコードアップデートを、Windows 10 バージョン1803(April 2018 Update)向けにはWindows Updateを通じて提供し、その他のWindows 10向けのアップデートはMicrosoft Updateカタログから入手可能」というニュースに戻りましょう。

 Spectre Variant 3a/4とL1TF対策のマイクロコードアップデートが、2018年8月22日にリリースされたのは事実です。しかし、Windows Updateで8月22日に配布されたのは1世代前のSpectre Variant 2”であり、Windows 10 バージョン1803だけでなくWindows 10とWindows Server 2016以降の全バージョンが対象です。

 対象のIntelプロセッサを利用していて、Spectre Variant 3a/4とL1TF対策を緊急に行いたいという場合は、Microsoft Updateカタログから2018年8月のマイクロコードアップデートを入手してインストールしてください(あるいはOEMが提供するファームウェアで対策してください)。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。