Microsoftは、「Windows 10」は脆弱性緩和ツールキット「Enhanced Mitigation Experience Toolkit」(EMET)が提供するすべての機能を備えており、EMETは不要だと主張しているが、CERT/CCのある脆弱性アナリストは、この主張は正しくないと述べている。
EMETは、Microsoft以外の製品にバグが存在する場合でも、脆弱性の緩和手段を数多く提供するツールキットだ。
しかし、2016年11月に入ってから、Microsoftは「Windows 10には、DEP、ASLR、制御フローガード(CFG)などの、EMETを利用する管理者が依存しているすべての脆弱性緩和機能に加え、UACのバイパスやブラウザを標的とした攻撃を防ぐ、多くの新たな緩和手段が含まれている」として、EMETの提供を終了する計画だと発表した。
MicrosoftのOSセキュリティチームで主席リードプログラムマネージャーを務めるJeffrey Sutherland氏は、EMETは最新の脅威についていくことができず、オンライン上で「簡単なバイパス手段」を容易に見つけることができると述べている。
顧客はEMETの機能をWindows 10に組み込むことを望んでいるとして、Microsoftは2018年7月31日にEMETのパッチを終了し、より良いセキュリティを望む顧客にはWindows 10への移行を奨励することを決定した。
しかしCERT/CCの脆弱性アナリストWill Dormann氏は米国時間11月21日、Windows 10はEMETと同じ保護を提供していないと説明した。また同氏は、EMETを使用したWindows 7は、EMETを使用しないWindows 10よりも強力な保護が得られることを示した。
同氏によれば、Windows 10は一定の「優れた脆弱性緩和手段」を提供するものの、Microsoft以外の製品はWindowsが備えている脆弱性緩和手段を活用しているとは限らず、それらの製品の保護に関してはEMETの方が優れているという。
「EMETのライブラリは、追加的な保護を提供することによって、対象アプリケーションの振る舞いを変更することができる」とDormann氏は説明している。
「EMETによって提供されるアプリケーション個別保護機能こそが、EMETの価値を真に高めている。すべてのソフトウェアベンダーに、利用可能なすべての脆弱性緩和手段を利用するコードを作ることを委ねるのは不可能だが、EMETはこの制御をわれわれの手に戻す」(Dormann氏)
同氏は、顧客がMicrosoftのサポート終了後にEMETの使用をやめる選択する場合、終了後も使用し続ける必要があるすべてのソフトウェアを洗い出すことを勧めている。
ベンダーからのパッチが提供されない製品については、この日付の重要性が増す。Dormann氏は、2016年末にサポートが終了する「Office 2007」は、まもなくこれに該当すると指摘する。
「そうしたサポート対象外のアプリケーションでは、EMETのような製品による追加的な脆弱性緩和手段の重要性はさらに高まる」と同氏は述べている。
あるCERTの研究者は、Windows 10は「EMETを利用する管理者が依存している、すべての脆弱性緩和機能を備えている」というMicrosoftの主張に異議を唱えている。
提供:Will Dormann氏
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
