これまで見てきたように、Windows 10には標準でさまざまなセキュリティ機能が組み込まれています。今回は、2018年早々、企業向け(半期チャネル)に配布が始まるWindows 10 Fall Creators Updateで導入された新しいセキュリティ機能「Exploit Protection」を紹介します。
「Enhanced Mitigation Experience Toolkit(EMET)」は、Windows OSに組み込まれている脆弱(ぜいじゃく)性軽減策のグローバル設定(システム全体)とアプリケーションごとの設定を簡素化するツールです。
具体的には「データ実行防止(Data Execution Protection:DEP)」「構造化例外処理の上書き保護(Structured Exception Handler Overwrite Protection:SEHOP)」「アドレス空間レイアウトのランダム化(Address Space Layout Randomization:ASLR)」「証明書信頼(Certificate Trust)」のグローバル設定を構成し、攻撃者が一般的に利用する攻撃テクニックに対する軽減策(「メモリ保護機能」とも呼ばれます)をアプリケーションごとに構成します。
DEP(Windows XP SP2以降)、SEHOP(Windows Vista以降)、ASLR(Windows Vista以降)はOSの標準機能であり、その既定値(EMETを使用しなくても構成済み)はWindowsのバージョンアップとともに強化されてきました。Windows 10向けには、さらに「信頼されていないフォントのブロック(Block Untrusted Fonts)」の軽減策が加わりました。
アプリケーションごとの軽減策も大部分はOSの標準機能でしたが、EMETなしでは構成が難しいものでした(DEPのみ、コントロールパネルの「パフォーマンス」オプションで構成可能)。
また、EMETは軽減策を標準でサポートしていない古いバージョンのWindowsに対しても、一部を適用できるという利点がありました。マルウェア対策、ファイアウォール、OSやアプリケーションのセキュリティ更新によるセキュリティ対策を補完し、これらの対策をすり抜ける攻撃のリスクを軽減(Mitigation)します。
EMETは、攻撃者が利用するさまざまな攻撃テクニックをブロックしようとします。しかし、その攻撃テクニックは、アプリケーション開発者が“正当な目的”でプログラミングテクニックの1つとして利用することもあります。そのため、EMETの利用にはアプリケーションとの互換性問題の可能性という重要な課題が伴います。
攻撃(または攻撃と似た挙動)を検出すると、EMETはアプリケーションを意図的にクラッシュさせ、システムやデータにそれ以上の影響が及ぶのを防止します。アプリケーションとの互換性問題もまた、「アプリケーションのクラッシュ」という形で顕在化します。EMETで構成可能な緩和策は多く、どのような機能であるのか理解が難しいものばかりです。
ここで重要なのは、軽減策について詳しく知ることではありません。アプリケーションの互換性に影響する可能性がある、ということを理解することです。互換性問題が生じた場合は、アプリケーションごとの設定で、影響している緩和策オプションを無効化する必要があります。それには、どのオプションが影響しているのか、1つ1つ調べる必要があるため、簡単ではありません。
OS自体のセキュリティ強化(新しい軽減策の実装や既定値の変更)により、EMETを使用する古いWindowsよりも、EMETを使用しない新しいWindowsの方がセキュリティが強固であるといわれています。例えば、EMETを使用するWindows XPよりもEMETを使用しないWindows 7、同様にEMETを使用するWindows 7よりもEMETを使用しないWindows 10の方がセキュリティは強化されています。
EMETは2009年に登場し(バージョン1.x当時の名称は「Enhanced Mitigation Evaluation Toolkit」)、2011年のEMET 2.1から公式サポートが提供されています。最新バージョンはEMET 5.52ですが、次のメジャーバージョンの開発は行われていません。現在の5.xが最後のバージョンとなり、全てのサポートは2018年7月31日に終了します。
最新バージョンのEMET 5.52は、Windows Vista Service Pack 2(SP2)からWindows 10 バージョン1607(Anniversary Update)までをサポートしています。Windows 10 バージョン1703(Creators Update)はサポートされませんが、インストールおよび動作は可能です(画面1)。Windows 10 バージョン1709は、EMETをサポートしませんし、インストールすることもできません。代わりに、EMETに似た構成設定が可能な「Exploit Protection」と呼ばれる新機能が組み込まれています。
Copyright © ITmedia, Inc. All Rights Reserved.