マイクロソフト、CPUの脆弱性対策でAzureの計画メンテを前倒し、全リージョンの仮想マシンを今朝から強制再起動。Googleは対策済みと発表

インテルやAMD、ARMなどのCPUに存在する脆弱性が発見された問題で、マイクロソフトはあらかじめ計画されていたMicrosoft Azureの計画メンテナンス期間を急きょ前倒しし、今日1月4日の8時半（日本時間）からAzure IaaS 仮想マシンが強制的に順次再起動されると発表しました。

• CPU の脆弱性から Azure のお客様を保護するために – Japan Azure Technical Support Engineers' Blog
• [重要: 2018 / 1 / 4 更新] [告知] 2018 年 1 月 2 日より Azure IaaS 仮想マシンのメンテナンス期間が開始します – Japan Azure Technical Support Engineers' Blog

（Azureの中の人も、急きょ日本語ブログを書いたのですね）

計画メンテナンスは今回のCPU脆弱性とは別に、すでに昨年末から予告されていたもの（ただし同社が脆弱性の情報をあらかじめ把握しており、それに対応する目的も含んでいた可能性はあります）。当初の予定では1月9日までのあいだユーザー自身が時期を選んで再起動できるセルフサービス期間が設けられていました。

しかし昨日になってインテル、AMD、ARMなどのCPUに欠陥があることが各方面から発表されたことで、大きな脆弱性が既知のものとなりました。そのため同社はセルフサービス期間の終了を前倒しし、1月4日8時半から順次、仮想マシンが強制再起動されることとなりました。

Google Compute Engineは対策済み

GoogleもこのCPU脆弱性に関する対応を下記の記事で発表しています。

• Google Online Security Blog: Today's CPU vulnerability: what you need to know

同時に、同社の全製品とサービスに関して今回の脆弱性に対する対策一覧ページが公開されています。

• Product Status - Google Help

Google Compute Engineの仮想マシンに関しては、すでに対策済みだと下記のように説明されています。

The infrastructure that runs Compute Engine and isolates customer workloads from each other is protected against known attacks.

Compute Engineおよび相互に分離されたお客様のワークロードを実行しているインフラについては、既知の攻撃の対策が済んでいます。

Google Compute Engineには、同社が「トランスペアレントメンテナンス」と呼ぶ、仮想マシンを稼働させたままライブマイグレーションを行ってメンテナンスを行う手法が導入されています。

Googleは、すでに昨年の時点で同社のProject Zeroチームが今回のCPU脆弱性に気がついていたことを明らかにしていますので、脆弱性が既知のものとなる前にトランスペラレントメンテナンスによって対応していたと考えられます。

ただし、ユーザーが利用しているOSにはパッチ適用が求められるとしています。

Compute Engine customers should work with their operating system provider(s) to download and install the necessary patches.

Compute Engineのお客様は、利用されているOSのベンダから必要なパッチをダウンロードし、インストールするべきです。

AWSは今日明日の計画メンテで対応か

AWSは、昨年より計画されていたメンテナンスが今日1月4日から1月5日に行われ、順次仮想マシンが再起動する予定であることがあらかじめユーザーに通知されていました。

おそらくこのメンテナンスに合わせて対策をするのではないでしょうか。

脆弱性対策の結果、性能が低下した？

今回のCPU脆弱性の対策を行うと、サーバの性能が一部低下する可能性があることが伝えられています。

あるAWSのユーザーは、AWSの計画メンテナンスに先だってユーザー自身がインスタンスを再起動させたところ、インスタンスの性能が下がってしまったと報告。性能低下は脆弱性対策のせいではないかと、AWSの掲示板に書き込んでいます。

• Degraded performance after forced reboot due to AWS instance maintenance

発言を追っていくとインスタンスの性能が低下したのは間違いないようで、このユーザーはm1.mediumからm3.mediumへと移行することで解決したと報告しています。ただし、性能低下が脆弱性対策に起因するものだったのか、ユーザーの環境に依存したものだったのかは判明しなかったようです。

このような事例もあることを念頭に、メンテナンス後はインスタンスの負荷についてしばらく目を離さないようにしておくほうがいいかもしれません。

CPUの脆弱性について

今回発見されたCPUの脆弱性について、現時点で参考になるのはGoogleのProject Zeroチームの情報でしょう。

• Project Zero: Reading privileged memory with a side-channel
• GoogleのProject ZeroチームはCPUの重要な欠陥を昨年発見していた | TechCrunch Japan

インテルのCPUの欠陥だという当初の報道について、インテルは反論しています。

• Intel Responds to Security Research Findings - Intel
• 「CPUに深刻なバグ」報道にIntel反論――OSアーキテクチャーに内在する欠陥で他社製チップにも同様の影響 | TechCrunch Japan
• Intel、プロセッサ脆弱性はAMDやARMにもあり、対策で協力中と説明 - ITmedia NEWS

関連記事

• マイクロソフト、CPUの脆弱性対策でAzureの計画メンテを前倒し、全リージョンの仮想マシンを今朝から強制再起動。Googleは対策済みと発表
• GoogleはCPUの脆弱性「Spectre」「Meltdown」対策を昨年6月に開始し12月には完了。性能低下の報告はないと
• AWSもSpectreとMeltdownの対策完了を報告。対策後、Amazon EC2で性能の低下は見られないと