MS、IT管理者向けセキュリティツールを発表--旧製品やサードアプリを保護

　ラスベガス発--Microsoftは米国時間7月28日、IT管理者がASLR（Address Space Layout Randomization）やDEP（Data Execution Prevention）などの影響緩和策を古いバージョンのWindowsで使用するのを支援するツールの新バージョンを発表した。

　このツールはEnhanced Mitigation Experience Toolkit（EMET）と呼ばれるもので、セキュリティ上の緩和技術を任意のアプリケーションに適用し、一般的な攻撃ベクターによる攻撃を防ぐものだ。

　Microsoftによれば、EMETはASLRとDEPを古いバージョンのWindowsで実現するだけでなく、これらの緩和策を採用していない既存のサードパーティソフトウェアでも、緩和策を利用できるようにしてくれる。

　MicrosoftのセキュリティレスポンスセンターのディレクターMike Reavey氏は、「これはパッチが提供されていない脆弱性への攻撃に対する保護にも役立つ」と述べている。

　ALSRとDEPは、マルウェアの攻撃に対して縦深防御として働くもので、新しいバージョンのWindowsではデフォルトで有効になっている。

　EMETは32ビット版、64ビット版の両方のアプリケーションをサポートしており、コンパイル済みのバイナリに対して特定の保護メカニズムを適用する。このツールは、次のような緩和策を、それらをサポートしていないアプリケーションに対して追加する。

• Structured Error Handling Overwrite Protection（SEHOP、構造化例外処理の上書き保護）。SEHチェーンの検証を行うことで、構造化例外処理を上書きする攻撃を防ぐ。
• Dynamic Data Execution Prevention（DEP、動的データ実行防止機能）。プロセスのメモリ中の実行コードではない部分にマークをつけ、メモリ破壊の脆弱性を悪用しにくくする。
• NULLページ割り当て。プログラムを初期化する前にメモリの最初のページを割り当ててしまい、攻撃者がユーザーモードでNULL参照を悪用しようとするのを防ぐ。
• ヒープスプレー割り当て。ヒープスプレー攻撃では、ヒープ領域が特別に作成された内容で埋められるが、この緩和策は攻撃でよく使われるヒープ領域のメモリアドレスをあらかじめ割り当てておくことで、この頻繁に行われている攻撃を阻止する。
• 強制的アドレス空間配置のランダム化（ASLR）。Windows Vista、Windows Server 2008、Windows 7のASLR非対応モジュールに対しても適用される。
• エクスポートアドレステーブルアクセスフィルタリング。ハードウェアブレークポイントを使ってkernel32.dllおよびntdll.dllのEATへのアクセスをフィルタリングし、命令ポインタがモジュール内でなければアクセスをブロックし、現在一般的なmetasploitのシェルコードを停止させる。