Windows 10でもEMETは無駄ではない、CERTが反論

Microsoftは脆弱性緩和ツールEMETをWindows 10で使用する必要はないとし、2018年7月31日のサポート終了を明らかにしているが、Windows 10でもEMETのようなツールが必要だとCERTのWill Dormann氏が反論している(CERT/CC Blogの記事、The Registerの記事、Neowinの記事、BetaNewsの記事)。

Microsoftでは、EMETと同等かそれ以上の機能が多く統合されたWindows 10でEMETを使用する必要はないと主張。EMETの機能が統合されていないWindows 8.1までのOSでは、パフォーマンスや信頼性が低下するとしてWindows 10への移行を推奨している。

しかし、Dormann氏によれば、Windows 10にEMETを組み合わせることで、Windows 10単体と比べて13種類12種類(※)の緩和策が追加されるという。Windows 10のControl Flow GuardはEMETのROP緩和策と同様の保護機能を提供するが、アプリケーション側でCFGを有効にしていなければ利用できない。緩和策の数で比較すれば、Windows 7+EMETもWindows 10を上回る。

そのため、Windows 10でEMETが不要になるというMicrosoftの説明は正しくないとのこと。また、サポートが終了したアプリケーションで未修正脆弱性が発見されるとゼロデイ脆弱性ではなく「forever-day」脆弱性になるとし、こういったアプリケーションを保護するためにもEMETのようなツールが必要だと述べている。

※元記事のWindows 10単体で対応可能な緩和策に「NullPage」が追加されたので訂正　スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ | Windows

　関連ストーリー：
Microsoft、EMETのサポート期間を18か月間延長 2016年11月09日
EMETを利用してEMETを無効化する手法、FireEyeが解説 2016年02月28日
Microsoft曰く、Windows 10でEMETを使う必要はない 2016年02月11日
Windowsのセキュリティ機能「EMET」、64ビット版Windowsでの32ビットプロセスに対しては不十分？ 2015年11月10日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
IE6～11に新たな脆弱性が発見される。Windows XP向けの対応はなし 2014年04月28日
Windows向けのセキュリティ強化ツール「EMET」を迂回するテクニックが発見される 2014年02月26日
Microsoft、セキュリティ向上ツール「EMET4.0」をリリース 2013年06月19日
IE6〜9にゼロデイ攻撃 2012年09月19日