投機的実行機能を持つCPUに対するサイドチャネル攻撃（CVE-2018-3639、CVE-2018-3640）について

今回の脆弱性は、悪意あるプログラムが攻撃対象のパソコン上で実行された場合に、従来保護されていたメモリに格納されているデータ^※1やレジスタ^※2が参照可能となるものです。

• データの改ざんの可能性はありません。
• 攻撃者が本脆弱性を突くためには悪意あるプログラムを攻撃対象の装置上で実行することが必要になりますので、外部ネットワーク（インターネットなど）からリモートアクセスをするだけではメモリデータを参照する行為はできません。

2015年1月発表モデルから2018年6月発表モデルのうち、インテル社製プロセッサーを搭載している機種が対象です（Intel Atom®プロセッサーは対象外）。

BIOSのアップデートおよびWindowsの脆弱性修正の適用が必要です。
なお、同時に適用する必要はありません。脆弱性リスクの軽減に効果がありますので、片方だけでも随時適用いただけますよう、お願いいたします。

BIOSのアップデート

BIOSのアップデートは、順次公開されます。公開されるとアップデートナビからお知らせが表示されますので、次の手順に従って、BIOSをアップデートしてください。

1. 画面の右下に次のようなアップデートナビのお知らせが表示されたら、お知らせ画面の上をクリックして、アップデートナビを起動します。
   

   

   ※ お知らせ画面は、しばらくすると消えてしまいます。お知らせ画面が消えてしまった場合は、通知領域の「アップデートナビ」アイコンを右クリックし、表示されるメニューから「富士通へ最新情報を確認」をクリックしてアップデートナビを起動してください。

2. 次のQ&Aを参照して「手順4 ファイルをダウンロードする」以降の操作を行ってください。
   • Q&A情報BIOSをアップデートする方法を教えてください。

Windowsの脆弱性修正の適用

マイクロソフト社はCVE-2018-3639（ADV180012）の問題を緩和するためのセキュリティアップデートを公開しています。次のページを参照のうえ、セキュリティアップデートの適用および必要なレジストリの設定を実施ください。CVE-2018-3640（ADV180013）は、BIOSアップデートのみで対応できます。Windowsのセキュリティアップデートはありません。

• ADV180012 | Microsoft Guidance for Speculative Store Bypass（マイクロソフト社）
• ADV180013 | Microsoft Guidance for Rogue System Register Read（マイクロソフト社）

※ 上記URLの閲覧には利用規約への同意が必要です。

今回のアップデートを適用することで、お客様の運用環境によっては性能への影響が発生する可能性があります。

詳細については以下のサイトをご覧ください。

• CVE:CVE-2018-3639（英語）（Common Vulnerabilities and Exposures）
• CVE:CVE-2018-3640（英語）（Common Vulnerabilities and Exposures）
• JVNVU#97971879:投機的実行機能を持つ CPU に対するサイドチャネル攻撃（Japan Vulnerability Notes）
• Q2 2018 Speculative Execution Side Channel Update（英語）（Intel Corporation）
• Analysis and mitigation of speculative store bypass（CVE-2018-3639）（英語）（Microsoft Corporation）

• 「投機的実行機能を持つCPUに対するサイドチャネル攻撃」について （2018年1月）