マイクロソフトのFall Creatorsアップデートで、ついにWindowsに統合型脆弱性保護機能が追加されました。以前は、マイクロソフトのEMETツールで探す必要がありました。現在ではWindows Defenderの一部として、デフォルトでアクティブになっています。

ウィンドウズ・ディフェンダーの脆弱性対策の仕組み

関連記事：Windows 10のFall Creators Updateの新機能が公開されました。

以前から、マイクロソフト社のEnhanced Mitigation Experience Toolkit（EMET）などの攻撃対策ソフトや、より使いやすいMalwarebytes anti-Malware など、強力な攻撃対策機能（中略）の使用を推奨しています。マイクロソフト社のEMETは大規模なネットワークで広く使われており、システム管理者が設定することも可能ですが、デフォルトでインストールされることはなく、設定が必要で、一般ユーザーにはわかりにくいインターフェースになっています。

Windows Defenderをはじめとする一般的なアンチウィルスプログラムは、ウィルス定義とヒューリスティックを用いて、危険なプログラムがシステム上で実行される前に捕捉します。攻撃対策ツールは、一般的な攻撃手法の多くを実際に阻止するため、これらの危険なプログラムがそもそもシステムに侵入することはありません。これらは、特定のオペレーティングシステムの保護を有効にし、一般的なメモリ攻撃手法をブロックするため、攻撃のような動作が検出された場合、悪いことが起こる前にプロセスを終了させることができます。つまり、多くのゼロデイ攻撃に対して、パッチが適用される前に防御することができるのです。

ただし、互換性の問題が発生したり、プログラムによって設定を調整する必要がある場合があります。そのため、EMETは家庭用PCではなく、システム管理者が設定を調整できる企業ネットワークで使用されるのが一般的です。

Windows Defenderは、MicrosoftのEMETに元々含まれていたものと同じ保護機能を多く含んでいます。Windows Defenderは、システム上で実行されているさまざまなプロセスに対して、適切なルールを自動的に構成します。(マルウェアバイトの攻撃対策機能は依然として優れていると主張しており、マルウェアバイトの使用を推奨していますが、Windows Defenderにもいくつかの機能が組み込まれるようになり、これは良いことです)。

この機能は、Windows 10のFall Creators Updateにアップグレードし、EMETがサポートされなくなった場合に自動的に有効になります。 Fall Creators Updateを実行しているPCには、EMETをインストールすることもできません。すでにEMETがインストールされている場合は、アップデートにより削除されます。

関連：Windows Defenderの新機能 "制御されたフォルダアクセス "でファイルを身代金から保護する方法

windows 10のFall Creatorsアップデートでは、「Controlled Folder Access」という関連するセキュリティ機能も搭載されています。これにより、信頼できるプログラムのみが個人データフォルダ内のファイル（文書や画像など）を変更できるようになり、マルウェアをブロックすることができます。いずれもWindows Defenderの脆弱性対策に含まれる機能です。ただし、Controlled Folder Accessは、デフォルトでは有効になっていません。

脆弱性攻撃対策が有効であることを確認する方法

この機能は、すべてのWindows 10搭載PCで自動的に有効になっています。ただし、「監査モード」に切り替えることも可能で、システム管理者は重要なPCで有効にする前に、攻撃防御のログを監視し、問題がないことを確認することができます。

この機能が有効になっていることを確認するには、Windows Defenderセキュリティセンターを開きます。スタートメニューを開き、Windows Defenderを検索して、Windows Defender Security Centreのショートカットをクリックします。

サイドバーのウィンドウ形状にある「アプリケーションとブラウザのコントロール」アイコンをクリックします。下にスクロールすると、「エクスプロイト脆弱性対策」の項目があります。これにより、この機能が有効であることが通知されます。

この項目が表示されない場合、お使いのパソコンがFall Creators Updateにアップデートされていない可能性があります。

Windows Defenderを脆弱性攻撃対策に設定する方法

警告: この機能は設定しない方がいいかもしれません。 WindowsDefenderは、調整可能な技術的なオプションが非常に多く、ほとんどの人は何をしているのか分からないと思います。この機能は、問題の発生を避けることができるインテリジェントなデフォルト設定で構成されており、マイクロソフトは時間の経過とともにそのルールを更新することができます。このオプションは、主にシステム管理者がソフトウェアのルールを作成し、企業ネットワークに展開するために設計されているようです。

脆弱性攻撃対策を設定する場合は、Windows Defenderセキュリティセンター>アプリとブラウザのコントロールで、下にスクロールし、脆弱性攻撃対策の下にある「脆弱性攻撃対策の設定」をクリックしてください。

ここには、「システム設定」と「プログラム設定」の2つのタブが表示されます。システム設定コントロールはすべてのアプリケーションの初期設定に使用され、プログラム設定コントロールは各種プログラムの個別設定に使用されます。つまり、番組設定は、個々の番組のシステム設定を上書きすることができるのです。制限を強くすることも、弱くすることも可能です。

Microsoftの公式ドキュメントでは、グループポリシーとPowerShellを使用したルールの展開について、より詳細な情報が提供されています。

システム設定]タブには、[コントロールフローガード（CFG）]、[データ実行防止（DEP）]、[画像の強制ランダム化（強制ASLR）]、[ランダム化]のオプションが表示されます。デフォルトでは、Force randomization for images (Force ASLR) オプションを除き、すべて有効になっています。これは、ASLRを強制すると、実行するプログラムによっては、互換性の問題が発生することがあるためと思われます。

繰り返しになりますが、自分が何をしているのかわからない限り、これらのオプションに触れるべきではありません。デフォルト値は理にかなっており、理由があって選択されています。

関連記事：64ビット版Windowsの安全性が高い理由

このインターフェースでは、各オプションの機能をごく簡単にまとめていますが、より詳しく知りたい場合は、ご自身で調べていただく必要があります。DEPとASLRが何をするものかは、以前こちらで説明しました。

番組設定」タブをクリックすると、カスタマイズされた設定を持つさまざまな番組のリストが表示されます。ここのオプションで、システム全体の設定を上書きすることができます。例えば、リストで「プロセス名」を選択して「編集」をクリックすると、ここでは、InternetExplorerプロセスがデフォルトでシステム全体で有効になっていない場合でも、強制的にASLRを有効にするルールが表示されます。

runtimebroker.exeやプリントサービスプログラムなど、これらのプロセスの組み込みルールを改ざんしないようにする必要があります。マイクロソフトがこれらを追加したのには理由があります。

カスタマイズする番組を追加する」をクリックすると、個々の番組に対してカスタムルールを追加することができます。プログラム名で追加」や「正確なファイルパスを選択」することもできますが、正確なファイルパスを指定する方がより正確です。

一度追加すると、ほとんどの人にとって意味のない設定の長いリストが表示されます。ここで提供される設定の完全なリストは、任意のコード保護（ACG）、低保全性画像のブロック、リモート画像のブロック、信頼できないフォントのブロック、コード整合性保護、制御フロー保護（CFG）、データ実行保護（DEP）、拡張ポイントの無効化、Win32kシステムコールの無効化、チャイルドプロセスの禁止、エクスポートアドレスフィルター（EAF）、画像のランダム化（force）を提供します。ASLR）、IAF（Import Address Filtering）、メモリ割り当てのランダム化（ボトムアップASLR）、実行シミュレーション（SimExec）、APIコール検証（CallerCheck）、例外チェイン検証（SEHOP）、ハンドル使用量検証、ヒープ整合性検証、画像依存性検証、スタック整合性検証（StackPivot）です。.

繰り返しますが、システム管理者でアプリケーションをロックダウンしたい場合や、自分が何をしているかを本当に理解している場合以外は、これらのオプションに触るべきではありません。

試しにiexplore.exeを有効にして起動してみたところ、internet explorerはエラーメッセージを表示するだけで起動を拒否されました。設定によりInternet Explorerが起動しないことを説明するWindows Defenderの通知も表示されませんでした。

やみくもにアプリケーションを制限すると、システム上に同様の問題を引き起こす可能性があります。オプションも変更したことを覚えていないと、トラブルシューティングが難しくなります。

まだ古いバージョンのWindows（Windows 7など）を使用している場合は、MicrosoftのEMETやMalwarebytesをインストールすることで、脆弱性攻撃対策ができます。しかし、マイクロソフトがwindows 10やwindowsdenderの脆弱性対策にビジネスを推し進めようとしているため、EMETのサポートは2018年7月31日に終了します。