ニュース
Intel CPUから機密情報が漏洩する「Downfall」脆弱性、Microsoftが軽減策・解除方法を案内
GDS軽減策は既定で有効
2023年8月24日 08:05
米Microsoftは、Intel製CPUで発見された情報漏洩の脆弱性「Downfall」への対策をまとめたサポートドキュメントを公表した。
「Downfall」脆弱性(CVE-2022-40982)は、Intelプロセッサーに備わっている最適化機能が原因で、ハードウェアの内部レジスタが意図せず露出してしまうというセキュリティ欠陥。たとえば、ダウンロードしたアプリから本来アクセスできないはずの機密情報――パスワード、暗号化キー、口座情報、個人のメールやメッセージ――を盗み出せてしまう可能性がある。この攻撃にはCPUの「Gather」命令をターゲットとする「Gather Data Sampling」(GDS)、「Gather Value Injection」(GVI)というテクニックが用いられている。
影響を受けるプロセッサーは、「Skylake」(第6世代)から「Tiger Lake」(第11世代)まで。最新モデルを除く、2014年以降に発売されたIntel製CPUの多くが該当する。これらのCPUはパーソナルデバイスだけでなく、サーバーデバイスでも大きなシェアを握っており、当該製品を搭載するデバイスを直接利用していなくても、クラウドサービスなどから間接的に影響を受ける可能性がある。
CVSSの基本値は「6.5」(MEDIUM)。
本脆弱性を軽減するには、「Intel Platform Update 23.3」(2023.3 IPU)マイクロコード更新プログラムを適用すればよい。この更新プログラムは通常、デバイスメーカー(OEM)から提供される。
なお、「Alder Lake」や「Raptor Lake」、「Sapphire Rapids」といった影響をうけないCPUを搭載している場合は、ベアメタル(物理)環境でGDS軽減策を無効化してパフォーマンスを稼ぐことも可能(既定有効)。ただし、以下の更新プログラムが適用されている必要がある。
- Windows 10/11:米国時間2023年8月23日以降の更新プログラムを適用
- Windows Server:米国時間2023年9月12日以降の更新プログラム(未リリース)を適用
条件を満たしている環境であれば、以下の通りレジストリを編集することで機能フラグを設定できる。
レジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
値名: FeatureSettingsOverride
値の種類: REG_DWORD
値データ: 0x2000000 (16 進数)
# レジストリ値がまだ存在しない場合の無効化コマンド
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f
なお、「Hyper-V」(仮想化)環境で軽減策を無効化するのは、現在のところ想定されていないようだ。控えたほうがよいだろう。