2014年04月30日

IEの脆弱性を回避するべくEMETを導入する

TVやニュースなどでも報道されているIEの脆弱性。また修正プログラムは出ていないようですが、回避策の一つとして、EMET(フリー)の導入が取り上げられています。

このEMET (Enhanced Mitigation Experience Toolkit) は Microsoft が無償で提供している、セキュリティ強化ツールです。ウィルス対策ソフトなどとバッティングするものではありませんが、古いプログラムの一部では互換性の問題もあるようで、ユーザーガイドに沿って調整してみるか、どうしてもダメな場合には利用を断念するか?のいずれかになる可能性もあるようです。
副作用の影響を受ける可能性はあるものの、今回の脆弱性だけではなく今後の新規の脆弱性に対しても大きな効果が期待できるようです。

Enhanced Mitigation Experience Toolkit/Microsoft

フリーなんですが、上記の説明のところから先はすべて英語情報しかないこのソフト。
今回、このソフトの導入についてみていきます。

1) まずは上記リンクからダウンロードします。
Enhanced Mitigation Experience Toolkit 4.1

20140431-1.jpg20140431-2.jpg

* 画面にあるようにポップアップがブロックされたら、"一度のみ許可" とするか、"このサイトのオプション"のところをクリックして "常に許可" とすれば、ダウンロードが開始されます。

20140431-3.jpg

2)"download.microsoft.comからEMET Setup.msi(8.18MB)を実行または保存しsますか?"とでたら、保存の脇の▼をクリックして、"名前を付けて保存" として、一旦デスクトップなどわかりやすいところに保存しておきます。

20140431-4.jpg20140431-5.jpg

もちろんご利用の環境にもよりますので、安定したインターネット接続が維持できている環境であれば、"実行" でも構いません。

3) 保存が終わったら、引き続き、"実行" をクリックしてインストールに入ります。もちろん一旦、ブラウザを閉じてから、デスクトップ上などの先ほど指定した保存先に保存されている、EMET Setupをダブルクリックして実行しても構いません。

20140431-6.jpg

4) 実行すると、まずはセキュリティの警告から。これは、そのまま "実行" をクリックします。

5) インストーラーが起動しますので、そのまま "Next" をクリックします。

20140431-7.jpg

6) 次に表示されるのがインストール先の画面。ここは通常このまま、"Next" をクリックして進みます。

20140431-8.jpg

7) ライセンス条項の画面になりますので、"I agree"(同意する)を選択して、"Next" をクリックします。

20140431-9.jpg

8) 確認の画面がでますので、そのまま "Next" をクリックしてインストールに入ります。

20140431-10.jpg

9)Windowsのセキュリティの警告がでたら、"はい" をクリックして許可すると、実際にインストールが開始されます。

20140431-11.jpg

10) "EMET Cofiguration Wizard" という画面がでてきますので、"Use Recommended Setting"(推奨設定) を選択し、"Finish" をクリックします。

20140431-12.jpg

11) "Installation Complete" と最後に表示されますので、"Close"(閉じる)をクリックして終了します。

20140431-13.jpg

これでインストールは完了です。

20140431-15.jpg

インストールが完了したらさらに設定を行います。今回導入したEMET4.1の場合には、さらに強力にするために、Quick Profile Name のところを "Recommended Security Settings" から "Maximum Security Settings" に変更。

20140431-16.jpg

さらに、"Apps" をクリックして、"Deep Hooks" にもチェックを入れてオンにしておくと強力にガードしてくれます。
なお現在配布されている、EMET4.1Updateについては、"Deep Hooks" の部分は既定でオンになっております。

EMET自体は英語ですが、日本語のユーザーガイドも用意されています。

EMET4.1日本語版ユーザーガイド

EMETがよくわからないし、導入も難しい...

そんな場合には、日本のセキュリティチームのブログなどでも紹介されていますが、

1) Vector Markup Language (VML) を無効化する
IPAのHPでは、コマンドによりVGX.DLLの登録を解除する方法のみが公開されていますが、"Internet Explorer の脆弱性により、リモートでコードが実行される" では、さらに、VGX.DLLに対するアクセス制御リストの制限を強化する方法も紹介されております。
また修正プログラムなどの提供を受けて、対応が済んだら再度、これを逆に有効に戻す必要もあります。

2) 拡張保護モードを有効にする

20140431-14.jpg

インターネットオプションを開いて、詳細設定タブの設定にある"セキュリティ" の中で、"拡張保護モードを有効にする"と"拡張保護モードで 64 ビット プロセッサを有効にする" を有効にします。後者の、"拡張保護モードで 64 ビット プロセッサを有効にする" は、Windows8.1の64ビット版のIEの場合には表示されますが、それ以外のものの場合にはありませんので、ご注意ください。

といった回避策を取られることをお勧めいたします。

今後修正プログラムなどの配信などの情報にはご注意ください。

【2014/5/2更新】
緩和策も、以下のサイトにあるようにだいぶ整理されてきました。
自分は何から手を付けたらいいのか?とお困りの方は、一度以下のサイトもご参照ください。

[回避策まとめ] セキュリティ アドバイザリ 2963983 ? Internet Explorer の脆弱性により、リモートでコードが実行される/日本のセキュリティチーム


<参照>
セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開/日本のセキュリティチーム
Internet Explorer の脆弱性により、リモートでコードが実行される
Internet Explorer の脆弱性により、リモートでコードが実行される
エメット(EMET)、していますか? (1/2)/@IT
EMET 4.1 を公開 〜 構成ファイルや管理機能の強化
IE10 & IE11 : 拡張保護モードの実態/Japan IE Support Team Blog

posted by クリック at 13:25| 東京 🌁| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする