日本マイクロソフトが5月23日・24日に都内で開催した開発者/IT技術者向けイベント「de:code 2017」。そこでは、Windows 10が実装する最新セキュリティ技術に関するセッションも行われた。同社セキュリティレスポンスチーム セキュリティプログラムマネージャーの村木由梨香氏は、「Windows 10はマルウェアを異常終了させる仕組みを備えている」と説明。例えば「振る舞い分析」は。API呼び出しやメモリー確保方法などを判断して、プログラムの実行を抑止する。その結果、マルウェアは異常終了して、ネットワーク内の感染を防ぐという。

「de:code 2017」でスピーカーを務めた、日本マイクロソフト セキュリティレスポンスチーム セキュリティプログラムマネージャー 村木由梨香氏

MicrosoftはWindows 7/8.x時代、セキュリティ対策ツールとして「EMET (Enhanced Mitigation Experience Toolkit)」を提供していた。悪用可能なセキュリティ上の欠陥を未然に防ぎ、ゼロデイ攻撃などを困難にする存在である。だが、同社は2016年11月にEMETの開発をキャンセル。公式ブログでは「EMETはOSと未統合という深刻な限界がある。そのため、EMET 5.5を最終版とし、Windows 10が供えるDevice GuardやCredential Guard、Windows Defender Application Guardなど新機能で、脆弱性の悪用やマルウェアからPCを保護する」と説明している。ちなみに、EMETのサポート終了日は2018年7月31日だ。

Windows 8.1上で動作するEMET 5.52

これらのセキュリティ機能はWindows 10へ順々と実装されてきたが、2017年6月28日にリリースしたWindows 10 Insider Preview ビルド16232では、「Windows Defender Application Guard (WDAG)」の拡充を筆頭に、いくつかのセキュリティ対策機能が含まれている。

筆者が注目しているのは、「Windows Defenderセキュリティセンター」の「アプリとブラウザーコントロール」に加わった「悪用保護 (Exploit Protection)」である。下図に示したとおり、制御フローガード (CFG) やデータ実行防止 (DEP) といった既存のセキュリティ対策を、OSレベルやアプリケーション単位で付与することが見て取れるだろう。EMETのセキュリティ対策機能がWindows Defenderセキュリティセンター経由で設定可能になったのである。

「Windows Defenderセキュリティセンター」に加わった「悪用保護」

「悪用保護」の詳細設定。各種セキュリティ対策の動作をOSレベルやアプリケーション単位で取捨選択できる

アプリケーション単位の設定では個別項目の有無を選択できる

先のセッションで紹介された、Windows 10のセキュリティ緩和策についての資料。DEPや例外チェーン検証 (SEHOP) の既定値は「既定でオフ」である

このようにEMETと同等の機能がWindows 10に復活した。厳密には2017年9月リリース予定のWindows 10 Fall Creators Updateで利用可能になる。筆者はEMETのリリースキャンセルについて、ちょっとした不安を抱いていたが、今回の機能追加でようやくWindows 7/8.x時代と同じく、個別のセキュリティ設定が可能になった。この進捗こそが、Windows 10がWaaS (Windows as a Service) たる顕著な一例と言える。

今回の主題とは異なるが、マルウェアによるファイルやフォルダーの不正利用を抑止する機能も追加した。ランサムウェアの保護に役立つという

阿久津良和(Cactus)