Enhanced Mitigation Experience Toolkit

Enhanced Mitigation Experience Toolkit (EMET)

Enhanced Mitigation Experience Toolkit（EMET）は、マイクロソフトが開発した脆弱性緩和ツールです。このツールは、オペレーティングシステムに内蔵されている防御策の設定に加えて、アプリケーション単位で実行される独自の緩和策を提供します。内容としては、主にメモリに関連する保護機能に焦点をあてていますが、SSL/TLSの正当性確認などの補助機能もサポートしています。

EMETの機能

EMETが提供する防御機能には、特にメモリに関する保護が多く含まれています。システム全体で設定できる防御手段としては、データ実行防止（DEP）、構造例外ハンドラの上書き保護（SEHOP）、アドレス空間レイアウトのランダム化（ASLR）などがあります。これらは、アプリケーションごとにスイッチを入れたり切ったりできるため、ユーザーは特定のアプリケーションに最適な防御を選択できます。

EMETは、悪意のある攻撃者が狙うことが多いメモリの脆弱性に着目しており、特にプログラムが内包する設計ミスによって引き起こされるセキュリティホールに対抗することができます。例えば、画像閲覧ソフトがセキュリティホールを抱えている場合、悪意のある画像ファイルを開くことでシステムに侵入されることがあります。このような不正アクセスを未然に防ぐため、EMETは対象プログラムを停止させ、エラーメッセージやログをユーザーに通知します。

使用上の注意

ただし、ユーザーはEMETを利用する際にいくつかのリスクについて考慮する必要があります。特定のプログラムでセキュリティホールが存在する場合、悪意のないプログラムでもEMETがその動作を中断させることがあります。また、EMETが先に起動されるアプリケーションを保護することはできず、また競合する保護機能を持つブラウザやソフトウェア（例：Google Chrome）があるため、注意が必要です。

インストールと設定

EMETをインストールする際、「推奨設定」を選択すると、Internet Explorerなどのマイクロソフト製品や、Java、Adobe Readerといったアプリケーションが自動的に保護対象に追加されます。さらに、EMETでは一部のフォルダ名にワイルドカードを指定して設定を行うことが可能です。たとえば、"\java.exe"や"Java\java.exe"と設定できますが、"\java*.exe"のようにファイル名の一部にワイルドカードを使用することはできません。

サポートの終了

残念ながら、EMETのサポートは2018年7月31日をもって終了しました。しかし、Windows 10のバージョン1703以降では、サポートされている部分の機能がOSに統合されているため、Power Shellを利用したProcessMitigations Moduleを通じて設定を行うことが可能です。また、Windows 10バージョン1709以降では、Windows Defender Exploit Guard（WDEG）という後継機能が提供され、EMETの機能に類似した防御策を実現しています。

EMETの適用可能な防御策

EMETにより適用可能な防御策は様々です。DEPにより悪意のあるコードが実行されるのを防ぎ、SEHOPにより不正なハンドラーの上書きを抑制します。Null Pageの管理やHeap Sprayの対策、EAFによるExport Address Tableの読み込み元制限など、多彩な防御手段が組み込まれています。特に、攻撃を未然に防ぎ、ゼロデイ攻撃に対抗するための効果的なツールとしての役割を果たしました。さらに、DLLの読み込みやメモリ保護に関連する複数の高度な機能も提供され、アプリケーションに対して柔軟な防御を選択することができます。

まとめ

総じて、EMETはメモリ保護に強みを持つ多機能な脆弱性緩和ツールです。ユーザーはその設定を駆使して、さまざまな攻撃からシステムを保護することが可能ですが、使用する際のリスクも理解した上で導入することが重要です。

もう一度検索