連載
» 2014年09月11日 18時00分 UPDATE

山市良のうぃんどうず日記(14):新しいエメット(EMET)さんにご用心!

マイクロソフトの無償の脆弱性緩和ツール「Enhanced Mitigation Experience Tool(EMET)」の最新バージョン「EMET 5.0」がリリースされました。本連載でもEMET 4.xの導入をお勧めしましたが、EMET 5.0に飛び付くのはまだ早いかも……。

[山市良,テクニカルライター]
「山市良のうぃんどうず日記」のインデックス

連載目次

最新バージョンEMET 5.0、リリース

 「Enhanced Mitigation Experience Tool(EMET)」は、マイクロソフトが無償提供するセキュリティツールです。EMETは、Windowsが備えるセキュリティ機能をシステムやアプリケーションに適用することで、既知および未知の脆弱(ぜいじゃく)性を悪用した攻撃の成功を回避します。

 「Mitigation(軽減、緩和)」という名が示すように、EMETはあらゆる攻撃に対抗できる“銀の弾”などではなく、未パッチの脆弱性のリスクを緩和するツールです。

 7月末にリリースされた最新版「EMET 5.0」は、Windows Server 2003 Service Pack(SP)2以降、およびWindows Vista SP2以降をサポートします(画面1)。当然のことながら、サポートが終了したWindows XPは対象になっていません。Windows XPにEMET 5.0をインストールしようとしても、ブロックされるというわけではありませんが、問題があっても対応してもらえません。

画面1 画面1 画面1 最新バージョン「EMET 5.0」のGUI(EMET GUI)。EMET 5.0の新機能は、Export Address Table Filtering Plus(EAF+)、Attack Surface Reduction(ASR)、64bitプロセスに対するReturn Oriented Processing(ROP)緩和策の一部サポート、証明書信頼のサイトブロック機能、EMETのサービス化など

 EMET 4.xはWindows XPをサポートしていましたが、Windows XPのサポート自体が終了しているため、Windows XPでEMET 4.xを使っている場合でもサポートを受けられないのは同じことですが……。

 EMET 5.0のユーザーガイドでは、システムやアプリケーションに対して適用可能なさまざまな緩和策が詳しく説明されていますが、どれも難解なものばかりです。EMET 5.0のインストール時に「Use Recommended Settings」(推奨設定を使用する)を選択して、取りあえず推奨設定のまま利用するのが最小限のトラブルでEMETの効果を得る早道でしょう。

 本連載の第3回、第5回の記事で紹介したように、今年だけでも二つの大きなゼロデイ攻撃をEMETの推奨設定が防いだとされています。2014年3月に公表された「Microsoft Word」の未パッチの脆弱性のゼロデイ攻撃、および4月の大型連休中にニュースになった「Internet Explorer」の未パッチの脆弱性に対するゼロデイ攻撃です。

 4月のInternet Explorerの脆弱性のニュースを機に、EMET 4.xを導入したという人も多いはずです。すでにEMET 4.xを導入済みの場合は、EMET 4.xをアンインストールする必要はありません。EMET 5.0をインストールすることで、旧バージョンからそのままアップグレードできます。その場合も旧バージョンの設定を引き継ぐのではなく、「Use Recommended Settings」を選択して、新しい既定の推奨設定を導入した上で、あらためて設定をカスタマイズした方がよいでしょう(画面2)。

画面2 画面2 EMETは技術的に難解ですが、取りあえず「Use Recommended Settings」を選択して推奨設定で導入してみることを推奨

 本連載の第3回、第5回の記事では、個人ユーザーの方にも推奨設定での導入をお勧めしましたが、EMET 5.0はそう簡単にはお勧めできません。推奨設定といえども、システムやアプリケーションに適用される緩和策が原因で、これまで利用できていたアプリケーションが起動しなくなる、利用中にクラッシュする、あるいは問題なく利用できていたWebサイトのサービスが利用できなくなるなどの影響が出る場合があります。

 メジャーバージョンの初期版ということで、まだ報告されていない不具合もあるでしょう。今現在、EMET 4.xが安定しているようであれば、しばらくはそのままでいた方がよいと思います。

 企業でクライアントPCに大量展開する場合は、業務に利用しているアプリケーションに影響が出ないかどうかを十分に検証した上で、調整した設定とともに展開するようにしてください。

EMET最新バージョンの新機能とその影響

 EMET 5.0では、アプリケーションに対する緩和策として「Export Address Table Filtering Plus(EAF+)」と「Attack Surface Reduction(ASR)」の二つが新たに追加され、これまで32bitプロセスに対する保護を提供してきた「Return Oriented Processing(ROP)」の一部が64bitプロセスの保護に対応しました。これらの新しい緩和策は、アプリケーションの実行に影響する場合があるので、十分に検証してください。

 EAF+は既定の推奨設定のうち、「Adobe Reader(AcroRd32.exe)」「Adobe Acrobat(Acrobat.exe)」「Internet Explorer(iexplore.exe)」、ASRは「Internet Explorer(iexplore.exe)」「Excel(Excel.exe)」「PowerPoint(Powerpnt.exe)」「Word(Winword.exe)」に対して有効になっています(画面3)。また、既定の推奨設定には含まれませんが、「Popular Software.xml」のインポートで設定される「Firefox(firefox.exe)」に対してもEAF+が既定で有効になっています。

画面3 画面3 Internet Explorerに対しては、EAF+とASRの緩和策が既定で有効

 ASRは、アクセス先のサイトのインターネットゾーンによって、プラグインのロードをブロックする機能を提供します。そのため、Internet Explorerで参照したサイトがASRの影響で正しく動作しないということがあります。

 既定では、「イントラネットゾーン」および「信頼済みサイト」を除く全てのゾーンで「Javaプラグイン(npjpi*.dll、jp2iexp.dll)」「Vector Markup Language(vgx.dll)」「MSXML(msxml4*.dll)」「Windows Script Host用ランタイムのActiveXコントロール(wshom.ocs、scrrun.dll)」のロードがブロックされます。

 この影響で「Oracle Java」のサイトでJavaの有無やバージョンをチェックしたり、Javaの新しいバージョンをインストールしたりといった機能が利用できなくなります。ASRを無効化せずにこの制限を回避するには、サイトを「信頼済みサイト」に追加する必要があります(画面4)。

画面4 画面4 画面4 Internet Explorerに対するASR緩和策の影響で、Oracle Javaのサイトではバージョン確認は機能しなくなる。これは「信頼済みサイト」にURLを追加することで回避可能

 そういえば、先日(9月10日から)、Internet Explorerにおいて古いActiveXコントロールのブロック機能が始まり、Internet Explorer自身が古いJavaプラグインをブロックするようになりました。EMET 5.0が入っているとダブルでブロックされることがあるので、とてもややこしくなります。

 EMET 5.0には、「Certificate Trust(Pinning)(証明書信頼のピン設定)」に証明書の信頼を検証できないSSLサイトへの接続をブロックする「Blocking Rule」が追加されました(画面5)。

画面5 画面5 証明書信頼のピン設定に追加された「Blocking Rule」オプション

 証明書信頼のピン設定機能は、Internet Explorerを使用した特定のSSLサイトのURLへのアクセス時に、SSLサイトの証明書チェーンのルートCA証明書をチェックし、検証できない場合は中間者攻撃の恐れあると見なしてタスクトレイのポップアップやイベントログに通知してくれる機能です。新たに追加された「Blocking Rule」を有効にすると(既定は無効)、単にユーザーに警告を通知するだけでなく、SSLサイトへの接続をブロックしてくれるようになりました(画面6)。

画面6 画面6 「Blocking Rule」オプションが有効な場合、証明書信頼のルールに一致しない不審なサイトは、通知されるだけでなく、接続自体がブロックされる

EMET 5.0の不具合、見つけちゃったかも?

 EMET 5.0はリリースされたばかりで、何かしら不具合があるかもしれません。すでに分かっているものとしては、ポピュラーなアプリケーションの緩和策を簡単にインポートできる「Popular Software.xml」には、何の効果もないアプリケーション設定が含まれています。

 具体的には、「Opera」のパスが「*\Opera\opera.exe」のようにワイルドカード設定されていますが、この設定では最近のOperaのバージョンのパス(*\Opera\バージョン番号\opera.exe)には対応できません(画面7)。このパスは「*\Opera*\opera.exe」にするべきでしょう。

画面7 画面7 「Opera」のパスが「*\Opera\opera.exe」のように設定されているが、これでは最近のOperaのバージョンのパス(*\Opera\バージョン番号\opera.exe)に対応できない

 また、これは筆者の環境に依存することかもしれませんが、Windows 7環境ではInternet Explorerの動作が遅くなったり、開始時にクラッシュしたり、証明書信頼の機能が期待通りに動作しなかったりしました。

 Internet Explorerのパフォーマンス問題やクラッシュ問題は、筆者の環境ではEAF+とASRを無効化することで改善しました。証明書信頼の問題は「ユーザーアカウント制御(User Account Control:UAC)」が影響した不具合のような気がしています。UACを無効化する、あるいはInternet Explorerを管理者として実行することで、証明書信頼が機能するようになることは確認できましたが、EMET 5.0を動かすためにセキュリティ設定を緩和するなんてバカげていますよね。

 これがEMET 5.0の不具合なのか、筆者の環境依存の問題なのか現時点では判断できませんが(ただし、複数の物理PC、仮想マシンで再現しました)、よく使うSSLサイトへのアクセスを保護しているつもりで、実は、何もしてくれていなかったとなると、洒落になりません。

EMETのEOS(End Of Support)は最長2年間

 すでにEMET 4.x(最新は4.1 Update 1)を導入済みで、安定して利用できているというのであれば、EMET 5.0に今すぐ更新するよりも、EMET 5.0の次のマイナーバージョンが出るまで様子を見た方が余計なトラブルを避けることができるでしょう。

 ちなみに、EMETはメジャーバージョンのリリース後2年間、または次期メジャーバージョンリリース後12カ月のうち、早く訪れた方がそのバージョンのサポート期限になります。EMET 4.xは「2015年6月9日」にサポート終了が確定。EMET 5.xは1年以内にEMET 6.xがリリースされない限り、「2016年7月12日」までサポートされます。

「山市良のうぃんどうず日記」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2014)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。