【更新プログラム配布中】Windows向けセキュリティアップデート情報:2014年5月GW号外でも紹介した、IEゼロデイ脆弱性への対応に追われた方も多かったのではないでしょうか。
普段はこういったことはテレビで取り上げられることもないので、セキュリティ情報に疎い方もこのニュースを知ってしまった(敢えて知ってしまったと書かせてもらいます)ことで、余計に混乱が生じたのもあると思います。
今回は、ゼロデイ脆弱性のリスクを緩和するためのツール”EMET”を紹介します。
1.EMETとは?
EMETとは、”Enhanced Mitigation Experience Toolkit”の略です。(エメットと読むようです)TechNet Blogsの脆弱性緩和ツール EMET 4.0 リリースに詳しい説明があるので、そちらの説明を引用します。
EMET は ソフトウェアの脆弱性が悪用されるのを防止する無償のセキュリティ ツールです。Windows XP SP3 以降のクライアント/サーバー OS にインストールすることができ、データ実行防止 (DEP)、メモリアドレスのランダム化 (ASLR) などの脆弱性緩和技術が組み込まれていないアプリケーションやシステムでも、脆弱性緩和技術が実装された状態とすることができます。セキュリティ更新プログラムによる脆弱性の修正とは異なり、EMET は悪用コードの実行防止を目的とし、攻撃が行われそうになるとプロセス・システムを強制終了することで攻撃を回避します。
セキュリティ更新プログラムと EMET の防御の違い(TechNet Blogsより)
EMET 4.0 以降のバージョンでは、公開キーインフラストラクチャ (PKI)を利用する中間者攻撃(man-in-the-middle攻撃)対策になる証明書信頼(設定可能なSSL/TLS証明書を固定する)機能も提供しています。
EMETはあくまで脆弱性”緩和”ツールなので、100%全ての攻撃を防ぐことは出来ず、セキュリティ更新プログラムをすぐに適用することがセキュリティ上大事です。
ですが、ゼロデイ攻撃をEMETにより回避できることが多く、セキュリティをより強化するためにも是非導入して欲しいツールです。
2.導入に際して注意点
Enhanced Mitigation Experience Toolkit(Microsoftサポート)によると、既存のソフトウェアとの互換性に問題が発生する可能性があるとのこと。業務用PC等に導入する時は事前に十分テストする必要があると思います。3.導入手順
Enhanced Mitigation Experience Toolkitにアクセスし、関連リンクからバージョンを選択します
Downloadをクリック
導入するだけならmsiファイルだけを選べばOK
msiファイルを実行します
Nextをクリック
Nextをクリック
ライセンスに同意する場合は、I Agreeを選んでNextをクリック
Nextをクリック
Use Recommended Settingsを選択して、Finishをクリック
これでOKです
一度起動して見てみましょう。
全てのプログラム→EMET GUIをクリックします
EMETウィンドウです
EMETによる保護機能が有効になっているプロセスには緑のチェックマークがつきます
4.EMET 4.1 Update 1
2014年4月30日に、EMET 4.1 Update 1がリリースされています。・UI と安定性の若干の向上:
- 期限切れ証明書信頼ルールが、ユーザー インターフェイス (UI) で強調表示されるようになりました。
- 期限切れ証明書信頼ルールが通知をトリガーしなくなりました。
- 任意の表で Ctrl + A (すべて選択) を取り消すことができない問題を解決しました。
- [ヘルプ] メニューでサポート リンクを開いたときに例外がスローされるまれな問題を解決します。
・アプリケーションの互換性の問題:
- MemProt、SimExecFlow、CallerCheck による Google Chrome Canary Edition、Adobe Acrobat、Adobe Reader、Apple iTunes、および他のプログラムの緩和策を有効にします。
・構成と展開の強化:
- すべての既定の証明書信頼ルールの有効期限日を 2015 年 8 月 1 日まで延長します。
- GPO アプリケーションの構成が誤って解析される問題を解決します。この問題の結果、構成済みのアプリケーションで AuditMode が誤って有効になります。
- EMET_Agent をサイレント モードで展開したときに起動できないインストーラーの問題を解決します。
Enhanced Mitigation Experience Toolkit 4.1 の更新プログラムについて (2014 年 4 月)より
EMET 4.1からのアップデートは、同じ場所に上書きインストールするだけで良いようです。その際前回の設定を引き継ぐか、Recommended Settingsを使用するか選択します。
今回のIEゼロデイ脆弱性の対策で、TechNet Blogsの[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行されるでも紹介されていた”Deep Hooks”が4.1 Update 1では既定の構成で有効になるようになっています。