脆弱性緩和ツール Enhanced Mitigation Experience Toolkit (EMET)の最新版バージョン EMET 4.0 が 6 月 17 日 (米国時間) にリリースされました。ダウンロードはこちらからできます。
EMET 開発チームのブログ (英語) も公開されており、ご覧になった方もいらっしゃると思いますが、本ブログでは、EMET の基本についてと、EMET4.0 の新機能をひとつ簡単にご紹介します。
EMETとは?
EMET は ソフトウェアの脆弱性が悪用されるのを防止する無償のセキュリティ ツールです。Windows XP SP3 以降のクライアント/サーバー OS にインストールすることができ、データ実行防止 (DEP)、メモリアドレスのランダム化 (ASLR) などの脆弱性緩和技術が組み込まれていないアプリケーションやシステムでも、脆弱性緩和技術が実装された状態とすることができます。セキュリティ更新プログラムによる脆弱性の修正とは異なり、EMET は悪用コードの実行防止を目的とし、攻撃が行われそうになるとプロセス・システムを強制終了することで攻撃を回避します。
図1. セキュリティ更新プログラムと EMET の防御の違い
利用シナリオと効果
EMET は、サードパーティ アプリケーション、レガシ アプリケーションなどに対して設定を行うことで、セキュリティの強化策、セキュリティ更新プログラムをすぐには適用できない環境への緩和策、ゼロデイ攻撃 (*1) への緩和策として利用できます。
EMET は脆弱性の回避策として昨今取り上げられることが多く、先日セキュリティ アドバイザリ 2847140として公開した IE8 に対するゼロデイ攻撃でも、既知の攻撃コードは EMET により回避可能であることは、マイクロソフトおよびサードパーティ機関のCERT/CC により確認が行われていました。
EMET 4 新機能 ~ 証明書チェック機能の追加
最新バージョンの EMET 4では、緩和策の強化やログ機能の強化なども行われていますが、新機能として証明書のチェック機能が追加されました。この機能は昨今の PKI 利用拡大に伴う不正な証明書などの問題の増加が背景となり追加されました。
あらかじめ、機能を適用するSSL/TLS の WEB サイトと、サイトが利用するルート証明機関の証明書の組み合わせを EMET で指定しておきます。IE で指定の WEBサイト閲覧時には、CA 証明書が指定されたものであるかを確認し、異なる場合は、エラーを通知します。
図2. ログインが必要なサイトのセキュリティ強化として利用可能
もちろん、Internet Explorer および Windows の既定の機能でも、信頼されたルート証明機関であるかなど、一般的なセキュリティとして十分なチェックは行われます。しかしながら、EMET は、よりセキュリティを強固にしたい環境のために、さらに強化した証明書のチェックの機能を提供しているのです。
EMET 利用でセキュリティ更新プログラムは不要?XP も安全に使える?
いいえ!EMET は緩和策を適用し、アプリケーションやシステムを攻撃から守りセキュリティを高めることができます。しかし、EMET は 100 %すべての攻撃を防ぐものではありません。脆弱性の対応には、セキュリティ更新プログラムを適用することが最善の対策です。
また、以下の図が示すように、EMET を使用した XP よりも、EMET 未使用の Windows 7 の方が堅牢です。これは多くの緩和策は新しい OS にすでに実装/強化されているためです。古い OS は EMET のようなセキュリティ ツールを利用しても、最新の攻撃を防ぐには限界があり、時代に合わせた新しい OS が必要なのです。
図3. EMET 2.1 によるテスト結果 (出典:マイクロソフト セキュリティ インテリジェンス レポート 第 12 版)
EMET 3.0 と 4.0 は現在 CSS によるテクニカル サポートでも対応しており、企業における導入や、メディアでの注目も高まってきています。ぜひ機会があれば利用してみてください。
注釈:
(*1) ゼロデイ攻撃: 脆弱性に対する修正や回避策が提供される前に、悪用コードが公開されたり、攻撃が広まったりすること
参考:
EMET 4.0 ダウンロード
Enhanced Mitigation Experience Toolkit 4.0
EMET 開発チームブログ (英語)
EMET 4.0 now available for download
Technet EMET ツール 概要
Enhanced Mitigation Experience Toolkit