2012 年 5 月 15 日 (米国時間)、Enhanced Mitigation Experience Toolkit (EMET) の最新版となる EMET 3.0 を公開しました。
EMET とは?
EMET (エメット) は、任意のアプリケーションに対して DEP (Data Execution Prevention) や ASLR (Address Space Layout Randomization)、SEHOP (Structured Exception Handler Overwrite Protection) など計 7 つの「脆弱性緩和技術」を簡単に導入できる無料ツールで、ソフトウェアの脆弱性が任意のコード実行等で悪用されるのを防止します。EMET の詳細は過去のブログ「X’mas ギフト」(後半) および「EMET の新しいバージョン V2.1 をリリースしました!」でも説明していますのでご参考ください。
EMET による防御のイメージ
下図2 が EMET による防御のイメージです。セキュリティ更新プログラム未適用のソフトウェアの脆弱性が攻撃された場合でも最終的な悪用 (コード実行) を防ぐことができます。多層防御の観点で、セキュリティ更新と併用することで、組織や個人の資産をより確実に守ることができます。
図1: セキュリティ更新プログラムにより攻撃が防御されるイメージ
図2: 緩和策の設定によりセキュリティ更新未適用のソフトウェアの脆弱性 (0-day 含む) に対する悪用が回避されるイメージ
EMET 3.0 の新機能
使い勝手の観点で以下の 3 つが追加されています。
1.構成を容易にする “プロファイル”
EMET 3.0 では、3 つのプロファイルを提供しています (下述)。これらプロファイルは、よく使用されるマイクロソフトおよびサードパーティ アプリケーションに対し、予め EMET の設定を構成した XML ファイルです。EMET をインストールしたディレクトリ配下の Deployment\Protection Profiles に含まれています。プロファイルを修正したりこれを基に他のプロファイルを作成したりできます。プロファイルの中身を見るとどのアプリケーションに対してどの緩和策が設定されているかも確認できます。
2.グループ ポリシーや SCCM との連携
以前より、EMET を組織で容易に展開できるようにしてほしいというご要望をいただいていました。V3.0 では、上述の 3 つのプロファイルを含む ADMX ファイルを含んでおり、Active Directory グループ ポリシーにより組織に展開できます。独自の EMET の構成を展開するためのポリシーも含まれています。また、System Center Configuration Manager との連携も追加されています (詳細は SCCM チームのブログをご参考ください)。
今回の連携により、管理者は組織への展開や構成変更、また EMET インストールの監視が容易に行えるようになります。
3.レポーティング機能
EMET Notifierという機能が追加されました。以下の 2 つの機能があります。
その他お伝えしたいこと
是非、使い勝手も良くなった EMET を一度お試しください。
リソース
Introducing EMET v3: このブログで説明している内容が詳細に書かれています
新ガイダンス公開 -「ソフトウェアの脆弱性を緩和する」って?: EMET に含まれるどの緩和策がマイクロソフト製品の OS やアプリケーションで有効になっているかについての表があります