• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

今週のSecurity Check

利便性が向上したEMET v3.0

朝長 秀誠=日本アイ・ビー・エム セキュリティー・オペレーション・センター セキュリティー・アナリスト 2012/06/06 日経コミュニケーション

今週のSecurity Check(第221回)

 2012年5月15日、マイクロソフトはEMET(Enhanced Mitigation Experience Toolkit)の最新バージョンである3.0をリリースした。今回のアップデートでは、新たな防御機能の追加などはなく、利便性を向上するいくつかの更新が行われている。

 EMETについては、以前、本連載で標的型メール攻撃への有効な対策ツールとして紹介された。EMETは、脆弱性を悪用する動作からアプリケーションを守る複数の機能を搭載したマイクロソフト純正ツールである。以前のコラムでは、EMETを利用すると、標的型メール攻撃で多く見られる、不正な文書ファイルを使った脆弱性の悪用を防げることを検証で示した(関連記事)。今回は、EMET v3.0に追加された新たな機能について紹介する。

通知機能

 実はこれまでのEMETには、脆弱性への攻撃を防御した際に、そのことを知らせる機能がなかった。ファイルを開けない原因が、ファイルが壊れているためなのか、EMETによって防御されたためなのか判断をすることができなかったのである。EMET v2.1で防御した場合、アプリケーションが強制終了するため、図1のようなエラーが表示されるが、EMETの影響であったことの記載はない。

図1●EMETで不正なDocファイルを開こうとした場合の表示
[画像のクリックで拡大表示]

 これに対しv3.0では、EMETによって防御されたことを通知する機能が追加された。図2は、最近、標的型メール攻撃で多く確認されているWindows コモンコントロールの脆弱性(MS12-027)とMicrosoft Wordの脆弱性(MS10-087)を悪用する不正なDocファイルを開いた場合の例である。最新バージョンからタスクトレイに、EMETのアイコンが常駐するようになり、攻撃を防御すると、その旨がポップアップ表示される。表示される内容からは、EMETのどの機能によって防御されたのかも分かるようになっている。例えばMS12-027ではEAF(Export Address Tableの読み書きを制限することでシェルコードの動作を防止する機能)によって、MS10-087の場合はSEHOP(バッファオーバーフローを利用した攻撃を監視する機能)によって防御されたことが分かる。

図2●EMET v3.0で脆弱性への攻撃を防御した際のポップアップ例 (左がMS12-027の場合、右がMS10-087の場合)
図2●EMET v3.0で脆弱性への攻撃を防御した際のポップアップ例 (左がMS12-027の場合、右がMS10-087の場合)

ここから先はITpro会員(無料)の登録が必要です。

次ページ さらに、EMETが作動したことがイベントログに記...
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る