緩和

Windows 10: 強化された脆弱性緩和技術で攻撃のコストを上げる

システムやアプリケーションの脆弱性を悪用し、不正なコードと置き換えて実行させるのは典型的な攻撃手法の 1 つですが、この場合、脆弱性を足がかりに、追加のマルウェアのインストールなどが行われ、結果的にコンピューターを好きなように操作されてしまいます。脆弱性にはセキュリティ更新プログラムを適用するのが最善策ですが、必ずしもすぐに適用できなかったり、ゼロデイのようにセキュリティ パッチが作成される前に攻撃が実行される場合もあります。   そのような状況からシステムを保護するために、Windows 10 では、実効性のある攻撃コードの開発を困難にするための、より強化された機能が搭載されています。   強化された脆弱性緩和機能 脅威に対する耐性の 1 つとして、また攻撃コストを高めるため、Windows には、脆弱性を悪用した不正なコード実行を防ぐ (困難にする) いくつかの緩和機能が搭載されています。Windows のバージョンを重ねるごとに、そのときどきの悪用手法に対抗する機能が追加、強化されており、Windows 10 では、新たな機能として制御フロー ガードという緩和機能が追加されました。     Windows 2003 以前 Windows XP SP2 Windows Vista/7 Windows 8 Windows 10 追加/強化された機能 特になし DEP /GS SafeSEH Heap hardening v1   ASLR v1 SEHOP Heap hardening v2   ASLR v2 Kernel SMEP & …

Windows 10: 強化された脆弱性緩和技術で攻撃のコストを上げる Read More »

脆弱性緩和ツール EMET 5.1 リリースしました

こんにちは、村木ゆりかです。   本日、脆弱性緩和ツール (Enhanced Mitigation Experience Toolkit, EMET) の新しいバージョン 5.1 を公開しました。 ツール、およびユーザーガイドは、こちらからダウンロードできます。 [12/12 追記] EMET 5.1 の日本語版ユーザーガイドを公開しました。ダウンロードはこちらからできます。 今回のバージョン 5.1 における主な変更点は: Internet Explorer, Adobe Reader, Adobe Flash そして、Mozilla Firefox に EMET の緩和策を適用時に発生していた互換性の問題の修正 いくつかの緩和策の向上およびバイパスへの対策 「Local Telemetry」機能の追加 この機能により緩和策が実行された際にメモリダンプを保存することが可能になりました。 すべての変更点は、サポート技術情報 3015976 に記載されています。   特に、Windows 7, Windows 8.1 のInternet Explorer 11 にて EMET 5.0 を利用している場合は、EAF+ の緩和策との互換性の問題が報告されていました。この問題は EMET 5.1 で修正されていますので、アップデートをすることをお勧めします。 ■ …

脆弱性緩和ツール EMET 5.1 リリースしました Read More »

Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 2 回 EMET 10 の疑問

こんにちは、村木ゆりかです。 マイクロソフトが無償で提供している脆弱性緩和ツール EMET について、はじめて EMET に触れる方向けに基本を解説している本連載、前回は EMET とは? そして EMET を利用するシナリオを説明しました。  第 2 回となる今回は、早速 EMET の実際の使い方を・・・と言いたいところですが、その前に、EMET のツールの位置づけや利用においての注意点について、よりご理解いただくために、よく寄せられる 10 の疑問についてお答えしたいと思います。   疑問 1: EMET って何て読むの? そもそもこのツールの名前、なんて呼ぶの? と戸惑う声が聞かれます。「エメット」と呼びます。   疑問 2: EMET はどの OS でも利用できるの? はい、サポート対象内の OS にてご利用いただけます。現在最新バージョンの EMET 5.0 では、Windows Vista Service Pack 2、Windows 7 Service Pack 1、Windows 8、Windows 8. 1、Windows Server 2003 Service Pack 2、Windows …

Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 2 回 EMET 10 の疑問 Read More »

Enhanced Mitigation Experience Toolkit (EMET) 基本解説 ~ 第 1 回 EMET とは

こんにちは、村木ゆりかです。 先日、脆弱性緩和ツール Enhanced Mitigation Experience Toolkit (EMET) の最新版である EMET 5.0 を公開しました。また、日本語のユーザーガイドも公開しましたので、ご覧下さい。 EMET は昨今セキュリティ情報でも緩和策として説明することもあり、目にしていただく機会も増えてきました。そもそも EMET ってなに?どうやって使うの?というご質問を多くいただきます。 そこで、数回に分けて、EMET の基本について解説していきたいと思います。   ■EMET の入手先 EMET は、マイクロソフトが無償で提供しているセキュリティ ツールです。とりあえずツールを入手して触ってみたい!という方は、以下から入手してください。  セキュリティ TechCenter Enhanced Mitigation Experience Toolkit (URL: http://technet.microsoft.com/ja-jp/security/jj653751)  現在の最新版は、EMET 5.0 です。EMET 5.0 をダウンロードする (英語情報) からダウンロードください。   ■Enhanced Mitigation Experience Toolkit (EMET) とは? EMET は、ひとことでいうと、「システムやアプリケーションに対して、攻撃を緩和する機能を有効にすることで、脆弱性の悪用を防ぐ」ためのツールです。   攻撃者が、被害者の端末で何か悪事を働こうとする場合、被害者の端末にあるソフトウェアの脆弱性 (プログラム上にあるセキュリティの問題点) を悪用します。 たとえば、「細工された Word 文書ファイルを開くと、Microsoft Word …

Enhanced Mitigation Experience Toolkit (EMET) 基本解説 ~ 第 1 回 EMET とは Read More »

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983(MS14-021)によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。   ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx   今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。   脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。   この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。 主要な脆弱性のハンドリング(取扱い)には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。 これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。 この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく(少々楽しく)述べられており、日本のセキュリティチームBlogでも概要を紹介しています。  Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx  「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx …

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策 Read More »

EMET 4 日本語版ユーザー ガイドを公開しました

みなさん、こんにちは。村木ゆりかです。  脆弱性緩和ツール Enhanced Mitigation Experience Toolkit (EMET) の最新版、EMET 4.0 がリリースされて2 か月経ち、段々と認知が広がってきています。ご利用していただいている方も多いのではないでしょうか。 本日、EMET 4 のユーザーガイドの日本語版を公開いたしました。こちら から入手ができますので、ぜひご覧になってください。 EMET は、英語のツールですが、日本語 OS や日本語アプリケーションに対しても利用可能です。EMET インストール時に、インストールフォルダに保存されている EMET ユーザー ガイドは、ツールの概要、利用方法、緩和策の説明、展開方法、よくある質問等、EMET を利用する上で役立つ情報が記載されています。これまでは、ユーザー ガイドも英語版であるため、興味があっても利用を見合わせていた方も多くいらっしゃったかと思います。そこで、広く皆さんにご利用いただくために、EMET ユーザー ガイドの日本語版を公開いたしました。ぜひ、ダウンロードして一読してみてください。   関連ブログ記事 脆弱性緩和ツール EMET 4.0 リリース EMET v4 ベータ版のご案内   関連リンク Enhanced Mitigation Experience Toolkit 4.0 ユーザー ガイド EMET 4 ツール ダウンロード EMET ツール概要

EMET v4 ベータ版のご案内

本記事は、Security Research & Defense のブログ “Introducing EMET v4 Beta” (2013 年 4 月 18 日公開) を翻訳した記事です。 良いお知らせがあります!本日、Enhanced Mitigation Experience Toolkit (EMET) の次期バージョン EMET 4.0 のベータ版を公開したことをお知らせします。 下記にてダウンロードください。(EMET は英語版のみの提供です。日本語 OS でも利用可能です) http://www.microsoft.com/en-us/download/details.aspx?id=38761 [更新情報 6/28] EMET4.0 正式版の公開に伴い、EMET 4.0 ベータ版の公開は終了しました。 EMET 4 正式版は下記よりダウンロードください。 http://www.microsoft.com/en-us/download/details.aspx?id=39273 EMET は、ソフトウェアのメモリ破損の脆弱性が、コード実行で悪用されるのを防ぐ無償ツールです。ソフトウェアに対して、最新のセキュリティ緩和技術を適用することでこれを行います。これにより、ゼロ デイの脆弱性および、利用可能な更新プログラムが適用されていない場合でさえも、多種多様なソフトウェアが、エクスプロイトに対し、より耐性を持たせることができます。EMET 4.0 ベータ版をダウンロードおよびインストールして頂き、ベータ版をテスト利用してみてください。そして、新機能についてご質問頂き、最終版の公開に先駆けて解決すべき問題をお知らせ頂けたらと存じます。私たちは、2013 年 5 月 14 日に EMET 4.0 を公式に公開する予定です。  [更新情報 5/9] …

EMET v4 ベータ版のご案内 Read More »

EMET v3.5 Tech Preview が公開されました

2012 年 7 月 25 日 (米国時間)、Enhanced Mitigation Experience Toolkit (EMET) v3.5 Tech Preview 版が利用可能となりました。この Tech Preview 版は名前の通りテスト目的で公開されており、v3.5 で新たに追加されたいくつかの緩和策が実際の環境でアプリケーションと互換性を保ち動作するかを広く確認していただくことを目的としています。 EMET v3.5 では新たに、Return-Oriented Programming (ROP) 攻撃に対する 4 つの緩和策が追加されています。詳細は SRD ブログにも記載の通りで、いくつかの緩和策は既知のものですが、マイクロソフトが昨年から懸賞金をかけて公募した BlueHat Prize Contest のファイナリストによる新たな緩和策も含んでいます。  今回追加された 4 つの ROP 緩和策 (Caller checks mitigation、Execution flow simulation mitigation、Stack pivot mitigation、Special function checks (Load library checks およびMemory protection checks)) は、EMET …

EMET v3.5 Tech Preview が公開されました Read More »

EMET の最新バージョン EMET 3.0 を公開しました

2012 年 5 月 15 日 (米国時間)、Enhanced Mitigation Experience Toolkit (EMET) の最新版となる EMET 3.0 を公開しました。 EMET とは? EMET (エメット) は、任意のアプリケーションに対して DEP (Data Execution Prevention) や ASLR (Address Space Layout Randomization)、SEHOP (Structured Exception Handler Overwrite Protection) など計 7 つの「脆弱性緩和技術」を簡単に導入できる無料ツールで、ソフトウェアの脆弱性が任意のコード実行等で悪用されるのを防止します。EMET の詳細は過去のブログ「X’mas ギフト」(後半) および「EMET の新しいバージョン V2.1 をリリースしました!」でも説明していますのでご参考ください。 EMET による防御のイメージ 下図2 が EMET による防御のイメージです。セキュリティ更新プログラム未適用のソフトウェアの脆弱性が攻撃された場合でも最終的な悪用 (コード実行) を防ぐことができます。多層防御の観点で、セキュリティ更新と併用することで、組織や個人の資産をより確実に守ることができます。 図1: セキュリティ更新プログラムにより攻撃が防御されるイメージ 図2: …

EMET の最新バージョン EMET 3.0 を公開しました Read More »

新ガイダンス公開 -「ソフトウェアの脆弱性を緩和する」って?

未知もしくは未修正のソフトウェアの脆弱性に直面した場合、皆さんはどのようにして企業や個人のデジタル資産を守りますか? 1 つの解としては、脆弱性の悪用を阻止してしまう (“悪用緩和技術“ を導入する) ことがあげられます。 2011 年 7 月 12 日 (US 時間)、米マイクロソフトが「Mitigating Software Vulnerabilities」というホワイトペーパーを公開しました。これ、何?と見てみると、そのタイトルの通り “ソフトウェアの脆弱性を緩和する” ことを推進するガイダンスです。 マイクロソフトは数年に亘り “悪用を緩和する” ことの実効性を謳い、導入を推進してきました。例えば  DEP や ASLR、/GS などの緩和技術としてマイクロソフト製品に実装したり、Security Development Lifecycle (SDL) としてセキュリティに重点を置いた開発プロセスを採用したりしています。これにより、攻撃者による脆弱性の悪用を困難かつコストの高いものにします。 今回ホワイトペーパーを公開した理由は、SDL に基づく製品開発の概念がなかなかソフトウェア開発者に浸透していないことや、マイクロソフトで提供している “緩和技術” の導入が、互換性やパフォーマンス等の理由から企業管理者にとって容易でないことを受け、この状況を変えたいという想いからガイダンスを公開したと SRD ブログ (英語情報) で述べています。 ホワイトペーパーをダウンロードして見てみると、内容は、各緩和技術の詳細説明、導入時の注意事項、マイクロソフト製品における各緩和技術の実装状況 (マトリクス)、最後に、開発者や企業管理者、個人ユーザーが取れる対策についてまとめられています。 折角なので、お!と思った箇所を一部抜粋しました。マイクロソフト製品における各緩和技術の実装状況マトリクスですが、これだけまとまったものは過去に公開されていない (はず) です。 図1: Windows OS (クライアント) のバージョン毎の各緩和技術の実装状況 (n=実装なし、y=実装ありで有効、OptIn=実装ありだが既定では無効、OptOut=実装ありで既定で有効、AlwaysOn=実装ありで無効にできない) 図2: 各 OS 上の Internet Explorerにおける緩和技術の実装状況 (赤は実装なし、緑は既定で有効) …

新ガイダンス公開 -「ソフトウェアの脆弱性を緩和する」って? Read More »