本記事は、Security Research & Defense のブログ “Introducing EMET v4 Beta” (2013 年 4 月 18 日公開) を翻訳した記事です。
良いお知らせがあります!本日、Enhanced Mitigation Experience Toolkit (EMET) の次期バージョン EMET 4.0 のベータ版を公開したことをお知らせします。
下記にてダウンロードください。(EMET は英語版のみの提供です。日本語 OS でも利用可能です)
http://www.microsoft.com/en-us/download/details.aspx?id=38761
[更新情報 6/28] EMET4.0 正式版の公開に伴い、EMET 4.0 ベータ版の公開は終了しました。
EMET 4 正式版は下記よりダウンロードください。
http://www.microsoft.com/en-us/download/details.aspx?id=39273
EMET は、ソフトウェアのメモリ破損の脆弱性が、コード実行で悪用されるのを防ぐ無償ツールです。ソフトウェアに対して、最新のセキュリティ緩和技術を適用することでこれを行います。これにより、ゼロ デイの脆弱性および、利用可能な更新プログラムが適用されていない場合でさえも、多種多様なソフトウェアが、エクスプロイトに対し、より耐性を持たせることができます。EMET 4.0 ベータ版をダウンロードおよびインストールして頂き、ベータ版をテスト利用してみてください。そして、新機能についてご質問頂き、最終版の公開に先駆けて解決すべき問題をお知らせ頂けたらと存じます。私たちは、2013 年 5 月 14 日に EMET 4.0 を公式に公開する予定です。 [更新情報 5/9] EMET 4.0 の公開日は 5 月 28 日に延期となりました。 [更新情報 5/28] EMET 4.0 の公開日は、5/28 からさらに延期となりました。具体的な日付は確定していませんが、近いうちに公開予定です。 [更新情報] EMET 4.0 が 6/18 に公開されました。こちらのブログをご参照ください。
このツールの新しいバージョンの注目点は、EMET が幅広い種類の起こり得るソフトウェア悪用シナリオに対して、効果的な緩和策であるよう望まれて作成されたもので、すでに EMET 保護が存在する領域でもより強力な保護策を提供し、ゼロ デイのエクスプロイトに対してもより早く対応する方法を備えています。以下は、EMET 4.0 の注目すべき点です。
- EMET 4.0 は、疑わしい SSL/TLS 証明書を利用しようとする攻撃を検出する **
- EMET 4.0 は、既存の緩和策を強化し、既知のバイパスをブロックする **
- EMET 4.0 は、EMET 3.0 における既知のアプリケーション互換性の問題を解決する **
- EMET 4.0 は、企業のお客様、およびマイクロソフトに対し、早期警告プログラムを有効にする **
- EMET 4.0 は、お客様が「監査モード (Audit Mode)」で緩和策をテストできる **
SSL/TLS 証明書信用機能 **
EMET 4.0 は、Internet Explorer を閲覧する際に、デジタル署名された証明書 (SSL/TLS 証明書類) を認証するために、証明書に固定された一連のルールを設定することが可能です。このオプションでは、証明書を発行した付随する既知のルート証明機関 (RootCA) で、ユーザーが一連のルールと、特定のドメイン (ユーザーの SSL/TLS 証明書類を介して) とを合致できるよう設定することができます。EMET が、ドメイン用に設定された特定の SSL 証明書において、問題の RootCA について変動を検出した場合に、この変則性を、中間者攻撃を示唆するものとして、報告します。 上級ユーザーは、各固定ルールに対して例外を追加することも可能です。この場合、固定ルールが合致しなくても、EMET は SSL/TLS 証明書を受理します。例外に当てはまるのは、RootCA 証明書の所有に関わるもの、例えば、キー サイズ、ハッシュ アルゴリズム、および証明書の発行の国などです。
強化された緩和策、バイパスのブロック
私たちは、EMET 3.5 の「Tech Preview 版」段階で、多くのことを学びました。リサーチャー達が、試行錯誤し、EMET の ROP 対策緩和策をバイパスする巧妙な技を披露する様子を目にしました。EMET 4.0 では、これらのバイパスをブロックします。例えば、 呼び出しスタックの層の 1 つである、kernel32!VirtualAllocの機能のみにフックして保護するのではなく、EMET 4.0 は、kernelbase!VirtualAllocおよび ntdll!NtAllocateVirtualMemory などの低レベルの機能に対しても追加でフックします。これら、「ディープ フック (Deep Hooks)」は、EMET の詳細設定で設定できます。私たちは、フック機能のプロローグをコピーし、その後、プロローグ以前の機能に移るという方法で EMET フックを回避しようとする悪用の試みを目撃したことがあります。EMET 4.0 では、「迂回回避」オプションが有効になっており、この技術を利用する一般的な shellcode はブロックされます。最後になりますが、EMET 4.0 は、禁止されている API へのコールをブロックする仕組みも兼ね備えています。例えば、CANSecWest 2013 の最近の概要説明では、ASLR、および ntdll!LdrHotPatchRoutinを介した DEP をバイパスする方法が披露されました。EMET 4.0 の「禁止された API」機能は、この技術をブロックします。
アプリケーション互換性の修正
EMET の旧バージョンを利用しているユーザーは、マイクロソフト、およびサードパーティ両方のソフトウェアに対し緩和策を有効にする際に、類を見ない互換性の問題に直面したことがあると思います。EMET 4.0 は、これら既知のアプリケーション互換性に関わる問題をすべて解決します。それら互換性に関わる問題のリストには、以下の領域で起こるものが含まれます。
- Internet Explorer 9、および Snipping Tool
- Internet Explorer 8 が管理するアドオン ダイアログ
- SharePoint を介して利用する Office ソフトウェア
- 特定の緩和策が有効になっている、Access 2010
- Windows 8 上の Internet Explorer 10
EMET 4.0 インストーラーは、特定のソフトウェアにおいて緩和策が上手く作用しないなど、特定の緩和策が無効な場合に、保護ルールを採用しています。それらの例として挙げられるのが、Photoshop、Office 2013 Lync、Gtalk、wmplayer、および Chrome などです。
企業のお客様、およびマイクロソフトに対する早期警告プログラム
悪用の試みを EMET が検出、ブロックした場合、この攻撃に関わる一連の情報を、Microsoft Error Reporting (MER)機能が準備します。Microsoft Desktop Optimization Package (MDOP) もしくは、システム センター オペレーション マネージャーのクライアント監視機能を介して、エラー報告を収集している企業のお客様については、これらエラー報告がローカルで選別され、企業のネットワークに対して起こり得る攻撃を示唆する、早期警告プログラムとして利用されます。一般に、すべてのエラー報告がマイクロソフトに送信される企業については、この情報を、私たちが実際の現場で攻撃を追跡する際の指標として追加し、脆弱性がより規模の大きい脅威となる前に、セキュリティ更新プログラムで問題改善を促します。EMET Privacy Statement (英語情報) (EMET のメイン画面からも利用可能) では、Microsoft Error Reporting を介して送信される、エラー報告に関するより詳細な情報が掲載されています。EMET 4.0 では、デフォルトで早期警告プログラムが有効になっていますが、EMET UI、あるいは EMET コマンド ライン コンポーネントを介して無効にできます。私たちは、EMET 4.0 の最終的な公開に向けて、早期警告プログラムの方向付けができるように、ぜひお客様からのフィードバックをお聞きしたいと望んでいます。
監査モード
EMET の旧バージョンが悪用の試みを検出した場合、EMET エージェントを介して攻撃の報告をし、その後、攻撃を防御するためにプログラムを終了していました。EMET 4.0 では、お客様からのフィードバックにお応えし、悪用の試みを検出した場合に、EMET の動作を設定するオプションを提供しました。デフォルトでは、アプリケーションが終了します。しかしながら、プロダクション環境で EMET をテストしたいお客様は、代わりに、プロセスを終了せずに、悪用の試みを報告する「監査モード」に切り替えることができます。この設定は、すべての緩和策に対して有効ではありませんが、可能な場合はいつでもこのオプションを提供します。
その他の改善点
EMET 4.0 にはその他の改善点も多く含まれます。新しい機能の量と、今回の公開に注ぎ込んだ仕事の量を鑑みて、私たちは EMET 3.5 の完全版の公開をせずに、一気に EMET 4.0 の公開を決めました。すべての機能を確認するには、EMET 4.0 ベータ版ユーザー ガイドを参照して頂きたいのですが、下記にいくつか主要なものを挙げました。
- EMET 通知機能は、新しい役目、および機能を持ち、EMET エージェントと呼ばれる
- より精度の細かい、レポート オプション (トレイ アイコン、イベント ログ、両方、いずれもなし)
- 緩和策、証明書信頼の双方に対する、新規のデフォルト プロファイル
- EMET エージェントのメッセージングをカスタマイズできるレジストリ設定
- 著しく良いパフォーマンスができるように最適化された RopCheck
- EMET がより簡単に使用できる、数多くの UI 調整機能
- 保護されるべきアプリケーションを追加する際に、ワイルドカード支援を有効にする
- .exe 拡張子がない場合でも、プロセスが防御される
- .NET Framework 4.0 への切り替え
- EMET はプレミア契約をしているお客様がサポートを利用できる、正式にサポートされている Microsoft ツールである
私たちは、EMET の最新版のフィードバックをぜひ伺いたいと思っています!このベータ版が利用できる期間は、わずか 4 週間ですが、私たちは長期間に渡った EMET 3.5 Technical Preview で、明確なタイムライン、および短期のベータ期間について学びました、正式な EMET 4.0 公開の前に、このベータ期間中にお客様からフィードバックを入手しなくてはなりません。EMET 4.0 のいくつかの機能は、お客様のフィードバックが直接反映されたものになるでしょう。私たちは、EMET をお客様の環境に適用、設定するのは素晴らしいと思って頂けるようなツールにしたいと望んでいます。このベータ期間では、実際に公開される前に、早期利用者からフィードバックを得られるよう、オプションを提供しています。フィードバック、質問、あるいは提案がありましたら emet_feedback@microsoft.com までメール (英語) でご連絡ください。今日にでも、EMET 4.0 ベータ版をダウンロードし、ぜひお試しください。