マイクロソフトの脆弱性緩和ツール「EMET」の最新バージョン「EMET 5.1」がリリースされました。本連載ではEMET 5.0の不具合をいくつか指摘しましたが、さて、EMET 5.1は皆さんにお勧めできるのでしょうか。
マイクロソフトが提供する無償の脆弱(ぜいじゃく)性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」については、本連載で何度も取り上げてきました。EMET 5.0が登場したときには、何かしら不具合があるかもしれないし、すでに筆者自身がいくつか不具合を発見したので、すぐに飛びつかずに次のバージョンが出るまで様子を見た方がよいと書きました。
その次のマイナーバージョンであるEMET 5.1が、Windowsの2014年11月の定例更新の前日である11月11日(日本時間)に公開されました(画面1)。
EMET 5.1では「Internet Explorer(IE)」「Adobe Reader」「Adobe Flash」「Mozilla Firefox」と、アプリケーション緩和策の一部で確認されていた互換性の問題が改善されているとのことです。詳しい変更点は、以下のサポート技術情報で説明されています。
例えば、EMET 5.0ではIEで「アドオンの管理」を開き、表示を「許可なしに実行」に切り替えると、「ASR」(Attack Surface Reduction)の緩和策が動いてしまうという不具合がありました。この問題はEMET 5.1で解消されていました(画面2)。
本連載第14回の「新しいエメット(EMET)さんにご用心!」で指摘した「Opera」のパス指定が最近のバージョンのOperaでは不適切という問題に関しても、ワイルドカード指定のパス「*\Opera\*\opera.exe」の追加で解消されていました(画面3)。
一方、Windows 7でEMET 5.0の証明書信頼機能が期待通りに機能しない問題については、解消されていないようです。
EMET 5.1は、Windows Updateの11月の定例更新があった2014年11月12日(日本時間)の前日に公開されました。その日が選ばれたのには、理由があるようです。以下のEMET 5.1公開のアナウンスにあるように、IE 11に対して翌日提供されるセキュリティ更新プログラムと、EMET 5.0のEAF+の緩和策の組み合わせで互換性問題が発生することが確認されたというのです。
EMET 5.0のEAF+監査策と互換性問題がある問題の更新プログラムは、以下のものでした。
After you install this security update, Internet Explorer may crash when you use Enhanced Mitigation Experience Toolkit (EMET) 5.0. This issue affects Internet Explorer 11 on Windows 8.1 systems. To resolve this issue, install EMET 5.1, or temporarily disable the EAF+ mitigation for Internet Explorer 11
影響があるのはWindows 8.1上のIE 11だそうです。試しに、この更新プログラムが適用されたWindows 8.1にEMET 5.0をインストールしてみました。すると、IEを起動した直後にEAF+緩和策が発動し、IEは動作を停止してしまいました(画面4)。この問題を解決するには、EMET 5.0でIEに対するEAF+緩和策を無効にするか、EMET 5.1に更新する必要があります。
EMET 5.0のほとんどのユーザーは、前日のEMET 5.1の公開を気付くことなく、翌日のWindows Updateで問題に直面し大慌てしたに違いありません。
EMET 5.1ではさまざまな不具合が改善されていますし、IEとEAF+の互換性問題もあるので、EMET 5.0を利用している場合は、EMET 5.1にアップグレードすることをお勧めします。ただし、EMET 5.0からEMET 5.1へのアップグレードに関しては、不具合があるので要注意です。特に、EMET 5.0を大量のPCに展開しているような企業にとっては重大な不具合だと思います。その不具合はというと、EMET 5.0を導入済みの環境にEMET 5.1をインストールして、設定を引き継ぐために「Keep Existing Settings」を選択しても、EMET 5.0で設定したアプリケーション緩和策設定と証明書信頼のピン規則やWebサイトの保護設定が引き継がれることなく、空っぽになってしまうことです(画面5、画面6)。ちなみに、EMET 4.1をEMET 5.1に更新した場合は、「Keep Existing Settings」で設定を引き継ぐことができました。
これからEMET 5.0からEMET 5.1に更新しようとしているのであれば、EMET 5.0の「Export」で現在の設定をXMLファイルにエクスポートし、EMET 5.1に更新後にXMLファイルをインポートすることで、設定を引き継ぐことが可能です。
EMETは、さまざまな脆弱性緩和策をアプリケーションに提供します。しかし、アプリケーションによっては、緩和策の一部が互換性問題を引き起こすこともあります。互換性問題はEMETに“付きもの”であり、EMETを導入する際には使用中のアプリケーションをテストして、緩和策のオン/オフを調整し、互換性問題を解消する必要があります。
また、アプリケーションのバージョンアップ、EMETのバージョンアップ、そして今回のEMET 5.0とIEのセキュリティ更新の問題のように、アプリケーションに対する更新プログラムが新たな互換性問題を引き起こすことがあります。EMETとうまく、長く付き合うのは、結構大変なのです。
そこで筆者がお勧めしたいのは、EMETを最小設定で導入する方法です。最小設定とは、システム緩和策(DEP、SEHOP、SEHOP)を既定の設定で導入し、アプリケーションの緩和策設定を空の状態で運用する方法です(画面7)。
Windows 7以降であれば、EMETのシステム緩和策の「Application Opt In」という推奨設定は、WindowsのDEP、ASLR、SEHOPの既定の設定を変更するものではありません(Windows Serverを除く)。
システム緩和策が「Application Opt In」の設定で、アプリケーションに対する緩和策設定を空の状態にしておくということは、アプリケーションに対してEMETは何もしないということです。そのため、EMETの緩和策がアプリケーションの互換性問題を引き起こす心配はないと思います。
これでは、未知の攻撃に対してEMETは何もしてくれません。ですが、そもそもEMETは脆弱性を悪用するあらゆる攻撃を阻止するものではなく、“阻止できるかもしれない”というものです。“かもしれない”ことに期待するよりも、ゼロデイ攻撃が確認された時点で適切に対応するのです。この使い方であれば、EMETの互換性問題や不具合に振り回されることはないでしょう。
2014年10月にマイクロソフトはセキュリティアドバイザリ「3010060」を公開し、EMETによる回避策を示しました(画面8)。この例のように、Windowsやマイクロソフトのアプリケーションの脆弱性で、回避策としてEMETが有効であれば、EMETの設定方法を含めて公開されるはずです。
なお、上記の脆弱性は11月の定例更新で解消されています。脆弱性が解消されたら、EMETからアプリケーションの登録を削除して、またクリーンな状態に戻せばよいのです。
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2014)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright © ITmedia, Inc. All Rights Reserved.