初音メトロ

VOCALOID、IT、地下鉄/メトロなどに関する情報を収集しているサイト!

RSS フィード コメントの RSS フィード

脆弱性を緩和するソフト「EMET」

今日はゴミの日です。ゴミはゴミ箱へ捨てましょう。

さて、IEの脆弱性が話題になりました。修正プログラムが公開される前まではいくつか有効な対処法が示されていました。「Enhanced Mitigation Experience Toolkit」もその一つです。EMETを入れておけば、今後同様な事態が起こった時も被害を最小限に抑えることができるかもしれません

英語表記な上に初心者には扱いが難しいので、使い方を紹介。導入はあくまでも自己責任で。

IEの脆弱性、何が問題か?

IPAより引用。

更新:Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構

Microsoft 社の Internet Explorer に、悪意のある細工がされたコンテンツを開くことで任意のコードが実行される脆弱性が存在します。
この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。

(中略)

以下の Microsoft 製品が対象です。

  • Internet Explorer 6
  • Internet Explorer 7
  • Internet Explorer 8
  • Internet Explorer 9
  • Internet Explorer 10
  • Internet Explorer 11

2014 年 4 月 9 日にサポートが終了した Windows XP の Internet Explorer 6 も対象となっています。

修正プログラムが公開される前は、回避策を適用するか、それが不可能なら「IEを使わないでほしい」と呼びかけていました。

PCに詳しくない人も分かりやすいように家に例えてみます。

  • IEの脆弱性→家の窓にひびが入って、泥棒が侵入しやすくなった状態
  • 回避策→壊れた窓にガムテープを張る
  • 「IEを使わないでほしい」→「その窓を使わないでほしい」
  • MSの修正プログラム→窓の工事業者による修理

修正プログラムを適用を

日本時間5月2日にMSから修正プログラムが公開されたので今すぐ適用して下さい。XPも対象です。自動更新を有効にしている場合は、自動的に適用されます。

詳細はこちらから。

回避策としてのEMET

回避策の一つとして「EMETを導入する」というものがありました。

EMETは、未修正の脆弱性を狙った「ゼロデイ攻撃」を阻止するソフトです。マイクロソフトが開発・配布しています。脆弱性を悪用したプログラムが実行されると、プログラムを強制終了させ、攻撃を阻止します。技術的な詳細についてはここでは説明しません。興味のある人は各自調べて下さい。

前述の家に例えると、EMETは、泥棒が壊れた窓から侵入しようとすると、警報を鳴らし自動で警察に通報するホームセキュリティシステムのようなものです。

対応OSと必要なモノ

現時点での最新版(正式版)は4.1 Update 1で、対応OSは以下の通りです。

クライアント(普通のパソコン用)OS

  • Windows XP Service Pack 3
  • Windows Vista Service Pack 2
  • Windows 7 Service Pack 1
  • Windows 8
  • Windows 8.1

サーバーOS

  • Windows Server 2003 Service Pack 2
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012
  • Windows Server 2012 R2

なお、EMETの実行には.NET Framework 4(または4.5)が必要となります。Windows 8/8.1/Server 2012/Server 2012 R2には、4.5が標準で入っています。

それ以前のWindowsには入っている場合がない場合があります。確認方法はこのサイトが分かりやすい。

.NET Framework 4または4.5が確認できれば、.NET Framework 4のインストールは不要です。確認できなければ以下のリンクからインストールして下さい。

また、簡単にインストール済みの.NET Frameworkのバージョンが確認できるソフトもあります。このソフトの実行には.NET Frameworkは不要です。

.NET Frameworkのバージョンの確認だけで一本記事を書いた方がいい気がする…。

ダウンロードとインストール

ダウンロードは以下から。

ダウンロードボタンを押します。

EMET_4.1_Download_1

「EMET Setup.msi」にチェックを入れ、Nextを押します。その後、ダウンロードができます。

EMET_4.1_Download _2

ダウンロードした「EMET Setup.msi」を起動すると、以下の画面が表示されます。[Next]を押します。

EMET_4.1_Install_1

インストールする場所を問われます。特に変更しなくてもよいです。そのまま[Next]を押します。

EMET_4.1_Install_2

使用許諾書が表示されます。I Agreeを選んで[Next]を押します。

EMET_4.1_Install_3

[Next]ボタンを押します。

EMET_4.1_Install_4

途中でこのような画面が表示されますので、「Use Recommended Settings」を選んで[Finish]を押します。

EMET_4.1_Install_5

インストールが終ったら、[Close]を押します。

EMET_4.1_Install_6

再起動するかどうか聞かれるので、[Yes]を押して再起動します。

EMET_4.1_Install_7

EMETの使い方(簡易版)

スタートメニュー(Windows 7以前)やスタート画面(Windows 8/8.1)で、Enhanced Mitigation Experience Toolkit→EMET GUIを起動します。

EMET_4.1

Appsを押すと、EMETの監視対象となっているアプリを確認・設定できます。推奨設定ではIE、ワードパッド、Office、Adobe Reader、Javaが対象になっています。

EMET_Application_Configuration_1

これでも脆弱性から守るのには十分だと思いますが、さらに対象のアプリケーションを増やすことをお勧めします。FirefoxやChromeの脆弱性がありますので、IEを使っていないから必ずしも安全だとは言えません。

最初の画面でImportを押して、表示されたダイアログで「Popular Software.xml」というファイルを開きます。

EMET_Import_Settings

「Popular Software.xml」をインポートすると、対象となるアプリケーションが増えます。

  • Firefox
  • Chrome
  • Opera
  • Safari
  • QuickTime
  • iTunes
  • Skype
  • Windows Live  Essentials
  • Photoshop
  • Winamp
  • WinRAR
  • WinZIP
  • 7z
  • RealPlayer

とりあえず主要なソフトはカバーできるでしょう。すでに該当のアプリが起動している場合はそのアプリを再起動する必要があります。

EMET_Application_Configuration_2

EMETにはまだまだ機能があります。例えば、国産のソフトなど、他のソフトも対象にしたい場合は、自分で追加する必要があります。詳細は、以下のサイトを参照して下さい。

また、マイクロソフトが日本語版ユーザーガイドを公開しています。以下からダウンロードできます。

アップデートも必須(まとめ)

最後に手のひら返し。

EMETはあくまでも脆弱性の悪用を防止するツールなので、脆弱性そのものを修正することはできません。EMETを導入したからと言って、Windows Updateなどのソフトウェアの更新やセキュリティ対策ソフトをインストールする必要はないということではありません

先程の家の例えでは、自動通報システムを導入したからと言って、壊れた窓の修理をする必要がないというわけではありません

また、EMETの有無に関わらず、当然ながら、脆弱性を悪用されるリスクを低減するため、怪しいサイトに行かない、怪しいソフトを実行しないことも重要です。それだけでも攻撃に合う確率はかなり下がります。

実は私の環境でEMETの有効性が発揮されたことはまだありません。どれだけ効果があるのか分かりません。EMETが原因で古いソフトでは誤動作するかもしれません。導入はくれぐれも自己責任でお願いします。

とはいえ、EMETを活用することによって、脆弱性を未然に防ぐことができ、アップデートとセキュリティ対策ソフトの弱点をカバーすることができるでしょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


BACK TO TOP