CPU脆弱性問題の対策Windowsアップデート・設定手順メモ（Windows 10 / Chrome / 2018年1月4日）

Windows向けのセキュリティアップデートは、Microsoftより、以下で案内されていました：

Microsoft has issued security updates (KB4056890) with mitigations for this class of attacks. As part of these updates, we are making changes to the behavior of supported versions of Microsoft Edge and Internet Explorer 11 to mitigate the ability to successfully read memory through this new class of side-channel attacks. （引用元）

このページは、今回の問題に関するNISCの次のツイートから、リンクされていたページです：

【CPU脆弱性情報】(2/3)
iOS機器に関しては対象外。なお現在公開されているアップデートでは全ては対処しきれていない模様。明確になり次第、情報を追加で提供する予定です。
参考：Microsoft Edge Dev 公開情報→https://t.co/oai316MA5v#Meltdown #Spectre [続]

— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年1月4日

このページによれば、アップデートを適用することにより、「Microsoft Edge」および「Internet Explorer 11」での危険が緩和されるようです。

Windows Updateは最新の状態に

ここに「KB4056890」と記載されているのを確認した上でWindowsアップデートを確認してみました。

無関係そうなアップデートがあったのでそちらのアップデートを済ませましたが、それで「最新の状態」となってしまい、現状それらしきアップデートは見当たりませんでした（アップデート履歴含め）：

KB4056890 はWindows Updateから今後配布予定？

KB4056890の詳細情報ページ「January 3, 2018—KB4056890 (OS Build 14393.2007)」には、

How to get this update
This update will be downloaded and installed automatically from Windows Update. To get the standalone package for this update, go to the Microsoft Update Catalog website. （引用元）

と書かれており、待っていればWindows Updateにより配布されるようですが、まだWindows Updateによる配布が実施されていないようでした（少なくとも手元の環境には）。

その説明の中で一つ気になった点として、「Known issues」に次の通り記載がありました：

Symptom:
Due to an issue with some versions of Anti-Virus software, this fix is only being made applicable to the machines where the Anti virus ISV has updated the ALLOW REGKEY.


Workaround:
Contact your Anti-Virus AV to confirm that their software is compatible and have set the following REGKEY on the machine Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD" Data="0x00000000"

（引用元）

この通り、どうやら、ウイルス対策ソフトとの相性問題が一部発生するようで、ウイルス対策ソフト側が特定のレジストリ書き換えを行っていない限り、適用できないアップデートとなっているようです。まずウイルス対策ソフト側のアップデートがあり、その後のアップデートとなりそうです。せっかくREGKEYが明示されているので確認してみると、見たところ指定されているREGKEYは設定されていませんでした（※ちょうどKasperskeyが定義データベースのアップデートを適用するための再起動を求めていたので、一度再起動してみましたが、変わらず）。

手動で適用してみる

ただし、問題が発生した場合の説明なので、現時点でアップデートを適用できないとは限りません。ということで、「How to get this update」に書かれていた「Microsoft Update Catalog」から、手元の環境に合わせて「2018-01 x64 ベース システム用 Windows 10 Version 1607 の累積更新プログラム (KB4056890)」を開きました。

そして、ファイル（windows10.0-kb4056890-x64_1d0f5115833be3d736caeba63c97cfa42cae8c47.msu）をダウンロードしました（※ファイルサイズの小さい「差分更新」のほうでも良さそうだったものの、他のWindows Updateは済んでいるもののまだWindows Updateに配信されていないその他のアップデートが含まれている可能性も考慮して、累積更新1202.3 MBをダウンロード）。

しかし.msuファイルを実行してみると、次のエラーが表示されてしまい、適用できませんでした。

Windows Update スタンドアロン インストーラー

この更新プログラムはお使いのコンピューターには適用できません。

対象OSを間違えていないか確認しても間違ってはなさそうだったので、先ほどのウイルス対策ソフトに関する記述のように、まだインストールする準備が出来ていない状態なのかもしれません。

というわけでひとまずWindows Updateの適用は見送って、様子をみることにしました。

よく見ればVersion 1607向け

しかしこのMicrosoftのブログからリンクされていた「KB4056890」のページ、よく見れば「Version 1607」向けと小さい文字で書かれており、ダウンロードしていたファイルも1607向けで、Fall Creators Updateは「Version 1709」なので、対象となるWindows 10のバージョンが異なるようでした。

「『KB4056892』というWindows Updateが今回の脆弱性の対策アップデートなのだけれど、適用すると性能が下がる（話題はRAMDISKの性能低下）」、ということが話題となっていました。

KB4056890との関連について

そのKB4056892の説明文を見ると、先ほどの「KB4056890」と共通の修正が含まれているようでした。

というのも、まず「Improvements and fixes」の一番最後の項目に

Security updates to Windows SMB Server, the Windows Subsystem for Linux, Windows Kernel, Windows Datacenter Networking, Windows Graphics, Microsoft Edge, Internet Explorer, and the Microsoft Scripting Engine. （引用元）

があり、これがKB4056890と共通する記述であると思われるとともに、先ほど紹介したのと同じ既知の問題（Known issues）が記載されているからです（最後の２つのKnown IssuesがKB4056890の内容と対応しており、レジストリの話はレジストリのキーや値が一致しており、KB4056890の内容をKB4056892が含んでいる模様）：

一方でこれはKB4056892に他の修正も混ざっている、ということであり、実際のところどこからどこまでが今回の脆弱性に関連する修正で（KB4056890に対応する部分だけなのか、他も関係するのか）、実際のところどれが性能低下の原因になっている修正なのか判断が付きません。

Windows Update

ひとまず改めてWindows Updateを確認してみましたがまだ配布されていないようだったので、ここで再び「Microsoft Updateカタログ」にアクセスし、「2018-01 x64 ベース システム用 Windows 10 Version 1709 の累積更新プログラム (KB4056892)」のダウンロードボタンから、「windows10.0-kb4056892-x64_a41a378cf9ae609152b505c40e691ca1228e28ea.msu」をダウンロードし、実行してみました（今度はVersion 1709=Fall Creators Update向け）。

すると今度は、インストールできそうでした：

ただ既にWindows Updateが来ているユーザーもどうやら増えているようなので、一度「いいえ」でインストールをキャンセルし、ひとまずもう少しWindows Updateで降ってくるのを待ってみることにします。

Chrome向けの対策設定については、次の記述がありました：

Desktop (all platforms), Chrome 63:

Full Site Isolation can be turned on by enabling a flag found at  chrome://flags/#enable-site-per-process. （引用元）

こちらも、NISCのツイートを参考にしました：

【CPU脆弱性情報】(3/3)
Google Chrome ブラウザに関しては、一部対処の方法が公開中。該当ブラウザで
chrome://flags/#enable-site-per-process
を入力。「Strict Site Isolation」を「有効」に。
参考：Google ヘルプ→https://t.co/AsaR1jmYcp#Meltdown #Spectre [終]

— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年1月4日

ここで案内されている「Strict Site Isolation」を有効にするためにまず「chrome://flags/#enable-site-per-process」を開きました。「Strict site isolation」が強調表示されているので、「有効にする」をクリックしました。

すると「変更内容は次にGoogle Chromeを再起動したときに有効になります」と表示されたので、「今すぐ再起動」をクリックして、Chromeを再起動しました。

特にChromeの利用中に違いが分かるものではありませんが、もう一度設定画面を開いてみると今度は「無効にする」というボタン表示になっており、ちゃんと有効化されたことが確認できました。

設定からWindows Updateの画面を表示してみたところ、Windows UpdateにCPU脆弱性に対応するためのアップデート「KB4056892」が来ていました：

※「一部の設定は組織によって管理されています」は、強制アップデート＆自動再起動を避けるグループポリシー設定の影響

「状態:再起動を待機しています」表示だったので、「今すぐ再起動する」をクリックして、再起動し、無事アップデートKB4056892が適用されました。

特にその後、動作に問題点や気が付いた点はなく、今まで通り利用することができています。

• CVE-2017-5753 / CVE-2017-5715 → Spectre
• CVE-2017-5754 → Meltdown

• Meltdown and Spectre
• KAISER: hiding the kernel from user space [LWN.net]