セキュリティ情報:CPU脆弱性 Meltdown / Spectre について

最終更新日:2018-04-20

脆弱性概要

IntelやAMD、ARM など複数のCPUにMeltdown / Spectreと呼称された脆弱性が発見されました(※)。本脆弱性を利用した攻撃を受けた場合、本来許可されていない他のプログラムのメモリ内容が読まれ、パスワード等の機密情報漏洩のリスクがあります。本脆弱性の詳細情報は下記サイトを参照ください。

「JVNVU#93823979 CPU に対するサイドチャネル攻撃」
https://jvn.jp/vu/JVNVU93823979/

※:脆弱性識別番号 CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

 

CPUを搭載した横河製品への本脆弱性の影響について

CENTUM VP / CS 3000 コントローラー FCS

調査が完了したFCS プロセッサモジュールへの本脆弱性の影響は下記のとおりです。

FCSプロセッサモジュール

FCS 型名

調査結果

CP471 AFV30S, AFV30D, AFV40S, AFV40D,
A2FV50S, A2FV50D, A2FV70S, A2FV70D
影響なし

CP451

AFV10S, AFV10D

影響なし

CP401

AFF50S, AFF50D, AFF30S, AFF30D

影響なし

CP345

AFG30S, AFG30D, AFG40S, AFG40D,
AFS30S, AFS30D, AFS40S, AFS40D,
AFG10S, AFG10D, AFG20S, AFG20D,
AFS10S, AFS10D, AFS20S, AFS20D

影響なし

CP703

PFCS-E, PFCD-E

影響なし

CP701

PFCS-S, PFCD-S

影響なし

ProSafe-RS コントローラー SCS

調査が完了したSCS プロセッサモジュールへの本脆弱性の影響は下記のとおりです。

SCSプロセッサモジュール

SCS 型名

調査結果

SCP461

SSC60S, SSC60D, S2SC70S, S2SC70D

影響なし

SCP451

SSC50S, SSC50D, SSC57S, SSC57D

影響なし

SCP401

SSC10S, SSC10D

影響なし

上記以外の製品について

横河は本脆弱性の影響を受けるCPUを搭載した弊社製品を調査中です。
影響を受ける製品は対策が提供可能になった時点で横河セキュリティ対策情報(YSAR)にて案内します。
「横河セキュリティ対策情報(YSAR)」
https://www.yokogawa.co.jp/library/resources/white-papers/yokogawa-security-advisory-report-list/

 

マイクロソフト Windows環境

本脆弱性の対策方法

マイクロソフト社は本脆弱性の対策方法として下記を案内しています。詳細は下記「参考サイト」を参照ください。

  • 最新のWindows セキュリティ更新プログラムを適用する
  • PC / サーバー ベンダーが提供する ファームウェア更新プログラムを適用する
  • レジストリを変更して本脆弱性の対策を有効にする(Windows サーバーのみ)
     

PC / サーバーのパフォーマンス低下

上記対策を実施すると、PC / サーバーのパフォーマンスが低下する事が報告されています。パフォーマンス低下の程度はお客様環境によって異なります。そのため事前に動作確認を行ってから、実際のお客様システムに適用することを強く推奨します。
 

Windows セキュリティ更新プログラムと弊社制御システム製品との組み合わせ検証

横河ではWindows セキュリティ更新プログラムと弊社制御システム製品の標準的な環境での組み合わせ検証を実施しています。検証結果は弊社エンドポイントセキュリティ対策サービスの動作確認情報提供サービス経由で提供しています。
「エンドポイントセキュリティ対策サービス」
https://www.yokogawa.co.jp/solutions/solutions/security-sol/security-service/endpoint-security-service/
 

Intel CPU用ファームウェア更新プログラムについての注意(2018-02-19)

Inetl社がPC / サーバーベンダー経由で提供していたマイクロコード(ファームウェア更新プログラム)には、予期せぬ再起動が発生するリスクがある事が報告されています。
「リブートの問題に関する原因を特定:顧客とパートナー向けのガイダンスを更新」
https://newsroom.intel.co.jp/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/
<注意>
2018-01-22時点において、Intel社はPC / サーバー ベンダーが提供していた Intel CPU用ファームウェア更新プログラムの適用を推奨していません。

修正されたマイクロコードが提供されるまでは、下記「その他の軽減策」に記載の軽減策の適用を検討ください。
 

その他の軽減策

攻撃者はネットワーク経由で直接本脆弱性を利用することはできません。攻撃者が本脆弱性を利用するには、攻撃対象のPC / サーバーに侵入する必要があります。そのため、PC / サーバーにアンチウイルスソフトウェアやホワイトリスティングソフトウェアなどのセキュリティ対策を導入する事で、本脆弱性が利用されるリスクを軽減できます。
横河ではMcAfee社商品をベースとした弊社制御システム製品用のアンチウイルスソフトウェア、ホワイトリスティングソフトウェアを提供しています。
 

弊社制御システム製品用のアンチウイルスソフトウェア(AV11000)、ホワイトリスティングソフトウェア(SS1WL1)について

本脆弱性に対応するWindows セキュリティ更新プログラムと一部のセキュリティ対策ソフトウェアを組み合わせた場合、ブルースクリーンエラーの発生リスクがあることが報告されています。そのためマイクロソフト社は当該のセキュリティ更新プログラムとセキュリティ対策ソフトウェアの互換性検証をする事を要請しています。
弊社制御システム製品用のアンチウイルスソフトウェア、ホワイトリスティングソフトウェアの最新版では上記のリスクは無い事を確認しています。詳細は下記までお問い合わせください。
 

参考サイト

全般: 「Spectre と Meltdown から Windows デバイスを保護する」
https://support.microsoft.com/ja-jp/help/4073757/protect-your-windows-devices-against-spectre-meltdown

Windows クライアント向け: 「投機的実行のサイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス」
https://support.microsoft.com/ja-jp/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

Windows サーバー向け: 「Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス」
https://support.microsoft.com/ja-jp/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

本件に関する詳細などは下記よりお問い合わせください


お問い合わせ
トップ