Intel CPU Downfall脆弱性、Windows向け緩和策の有効化/無効化方法公開。しかし、内容は意味不明。Intelに問い合わせるもすぐには回答できず [Update 2]

CPU

Intel CPU

IntelとMicrosoftは、Intel CPUの脆弱性『Downfall』をWindows上で緩和する方法および緩和策を無効にする方法を公開しました。しかし、公開された情報はかなり意味不明なものとなっています。

更新履歴 [記事初公開日: 2023/8/25]
① 記事下部に脆弱性の緩和策を有効にする方法を加筆。 [2023/8/29]
② 記事下部に緩和策を無効化できなくなった旨を加筆。 [2023/9/6] [New]

まずは以下のIntelとMicrosoftのページに書かれている内容をご覧ください。意味不明箇所には『(※数字)』と記しています。

Intelの説明

当社(Intel)は、Microsoftと協力して、Windows OSカーネルのGather Data Sampling (Downfall)緩和策を無効にするメカニズムを提供しました。詳細は(以下の)Microsoftの記事で説明されています。

[Source: Intel
Microsoftの説明

▼はじめに

『Gather Data Sampling』(GDS)または『Downfall』と呼ばれる脆弱性を悪用した攻撃により、CPUからデータを推測される恐れがあります。この脆弱性の詳細は、INTEL-SA-00828およびCVE-2022-40982のページをご覧ください。

▼脆弱性の緩和策

重要事項: このページで説明する緩和策はデフォルトで有効(※1)になっています。無効にすることもできます。なるべく早く緩和することをおすすめします。なお、Alder Lake、Raptor Lake、Sapphire Rapidsを含む最新製品はこの脆弱性の影響を受けません。

この脆弱性を緩和するにはIntel Platform Update (IPU) 23.3 microcodeをインストールする必要があります(※2)。通常、このアップデートはOEMから入手する必要があります(※3)。OEM一覧についてはSystem Manufacturersのページをご覧ください。これ以上、脆弱性を緩和するためのアクションは必要ありません。

▼緩和策を無効にする

この脆弱性を脅威とみなさない場合には、緩和策を無効にすることができます。緩和策を無効にするには、2023年8月23日にWindowsUpdateに配信されたプレビューリリース(Windows10 22H2: KB5029331 / Windows11 22H2: KB5029351 / Windows11 21H2: KB5029332)以降の更新プログラムをインストールしている必要があります。Windows Server環境の場合は、2023年9月13日以降のセキュリティ更新プログラムをインストールしている必要があります。

緩和策を無効にするにはレジストリエディターを起動([Windows] + [R]キーを押して『regedit』と入力してエンター)して、以下のレジストリを設定してください。

【キー】HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
【DWORD】FeatureSettingsOverride
【値(16進数)】2000000

レジストリ設定

[Source: Microsoft

上記説明でおわかりいただけたでしょうか。緩和策を無効にする手順はわかりました。とりあえず上記レジストリを設定しておけば有効になることはありません。しかし、緩和策を有効にする方法が意味不明です。

Micorosoftの説明(※2と※3)では、緩和策を有効にするにはマイクロコードをOEMから入手する必要があると記されています。このマイクロコードというのは、いわゆる脆弱性を修正したBIOSのことなのか、それともソフトウェア的な更新プログラムを指しているのかがわかりません。

前者だとすれば、まぁわかりますが、しかし、OEM一覧にはASRockやBiostarといったマザーボードメーカーが載っていません。これらのメーカーからは発行されないということなのでしょうか。そして、後者だとしたら、OEMがソフトウェア的なWindows用マイクロコードアップデートを発行するということなのでしょうか。それはそれで中々考えにくいものがあります。いずれにしても何を指しているのかがわかりません。

そして緩和策はデフォルトで有効になっていると書かれていますが(※1)、これはすでにWindowsUpdate経由で脆弱性を修正したマイクロコードがリリースされていて有効になっているという意味なのか、それとも、上記※2と※3を適用したらデフォルトで有効になるという意味なのか、どちらかわかりません。

これまで、Microsoftは、CPUの脆弱性が見つかるとWindows用マイクロコードアップデートを各OS向けにリリースしてきました。今回、MicrosoftからWindows用マイクロコードはリリースされないのか、すでにされているのか不明です。

長々と書きましたが、一言で言うと「具体的にどうすれば脆弱性の緩和策を有効にできるのか」ということが、上記の説明では言葉不足すぎてさっぱりわかりません。筆者の理解力が足りないだけかもしれません。もしそうだったらすみません。

どうすればWindowsでDownfallの脆弱性を緩和できるのか、Intelサポートに問い合わせました。Intelサポートは以下のように回答しました。

本件につきまして、上席と確認する必要がございます。
本日中に確認ができましたら、こちらからご返信させていただきます。
また、もし本日中に確認ができない場合は8/29(火)にご返信させていただきます。

― Intelサポート

当日中にIntelサポートからの返信はなく、Intelはすぐには回答できませんでした。Intelによると2023年8月29日に回答するとのことです。Intelから連絡があり次第、本記事を更新し、必要に応じて別記事を公開いたします。

< Update 1: 2023/8/29追記 >
Intelによると、Downfallの脆弱性を緩和するには、マザーボードのBIOSアップデートが必要とのこと。筆者の使用しているMSI MAG Z490 TOMAHAWKの場合、2022年5月4日付け(2023ではなく2022です)で公開されたバージョン7C80v1Bでマイクロコードが適用されており緩和が有効になっているとの案内を受けました。また、マイクロコードが適用されたBIOSへとアップデートすれば、それだけで緩和が有効になるため追加措置は不要とのことです。

お使いのマザーボードがどのBIOSバージョンでDownfallの脆弱性に対応しているかは、Intelもしくはマザーボードメーカーへとお問い合わせください。もし、BIOSアップデート後に、パフォーマンスの低下が気になる場合は、上記レジストリの設定をお試しください。(もちろん、上記レジストリを設定すると緩和策が無効になるため注意が必要です)

< Update 2: 2023/9/6追記 >
上記レジストリでの無効化ができなくなりました。詳細は以下の記事をご覧ください。

  Intel CPUの脆弱性『Downfall』の緩和策をWindows上で無効化できなくなる。パフォーマンス低下を防げなくなる

Posted by にっち