このページの本文へ移動
  1. ホーム >
  2. コンピュータプラットフォーム >
  3. 法人向けPC・タブレット・スマートフォン >
  4. サポート(法人向けパソコン) >
  5. ウイルス・セキュリティ関連情報 >
  6. 投機的実行機能を持つCPUに対するサイドチャネル攻撃(CVE-2018-3639、CVE-2018-3640)について

富士通株式会社
2018年5月23日 掲載
2018年6月1日 更新

お客様各位

投機的実行機能を持つCPUに対するサイドチャネル攻撃(CVE-2018-3639、CVE-2018-3640)について

2018年1月に公開されました投機的実行機能を持つCPUに対するサイドチャネル攻撃の派生型が、新たに報告されています。
以下の対処方法をご覧いただき、ご対応くださいますようお願いいたします。

投機的実行機能(speculative execution)

  • CPUの高速化手法の1つ。分岐命令の先のプログラムを予測して実行する機能。現在使われている一般的なCPUにはほぼ搭載されている。

個人のお客様はこちらをご覧ください。

脆弱性の概要

今回の脆弱性は、悪意あるプログラムが攻撃対象のパソコン上で実行された場合に、従来保護されていたメモリに格納されているデータ(※1)やレジスタ(※2)が参照可能となるものです。

  • データの改ざんの可能性はありません。
  • 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の装置上で実行することが必要になりますので、外部ネットワーク(インターネット等)からリモートアクセスをするだけではメモリデータを参照する行為はできません。

(※1)OSのカーネル領域のメモリ、各プロセスのメモリや各仮想マシンのメモリ
(※2)CPUの状態を表示する記憶域

対象機種

確認でき次第、順次更新してまいります。

対処方法

BIOSのアップデートおよびWindowsの脆弱性修正の適用が必要です。

※両方の適用が必要ですが、同時に適用する必要はありません。脆弱性リスクの軽減に効果がありますので随時適用いただけますよう、お願いいたします。

BIOSのアップデート

BIOSアップデートが必要かどうか、およびBIOSの提供時期については、対象機種一覧をご確認ください。

  1. ドライバダウンロードページで、機種を選択するか、型名を入力し、検索結果を表示します。
    ダウンロード検索(パソコン)
    ダウンロード検索(CELSIUS)
  2. 該当するBIOS書換データをダウンロードします。
  3. ダウンロードしたデータを解凍し、Readme.txtをよく読みアップデートします。

Windowsの脆弱性修正の適用

マイクロソフト社は5月21日に次のページで情報を公開しました。
CVE-2018-3639(ADV180012)については、BIOSに加えてWindowsの対応も必要であるため、マイクロソフト社は問題を緩和するためのセキュリティアップデートを計画しています。
CVE-2018-3640(ADV180013)については、BIOSの更新のみで対応できる見込みのためWindowsのセキュリティアップデートの計画はありません。
マイクロソフト社の準備が整い次第、本ページでもお知らせします。

※上記URLの閲覧には利用規約への同意が必要です。

アップデートによる影響について

今回のアップデートを適用することで、お客様の運用環境によっては性能への影響が発生する可能性があります。

脆弱性に関する詳細

詳細については以下のサイトをご覧ください。

参考

※本内容は予告なく変更される場合があります。あらかじめご了承ください。

-以上-