Flash の脆弱性 と EMET

Adobe Flash Player のゼロデイ攻撃の脆弱性に関して、Microsoft Enhanced Mitigation Experience Toolkit （EMET） が有効という情報があります。この機会に EMET をお勧めしてくる人もいるでしょう。でも、“EMET 入ってる” だけだと、何もしてくれないかもですよ。

IPA > Adobe Flash Player の脆弱性対策について(APSA15-04)(CVE-2015-5122等)
[URL] http://www.ipa.go.jp/security/ciadr/vul/20150713-adobeflashplayer.html
（※追記: パッチ出た → https://helpx.adobe.com/security/products/flash-player/apsb15-18.html)

この脆弱性に関する CERT/CC の VU#338736 と VU#918568 には回避策の 1 つとして Use the Microsoft Enhanced Mitigation Toolkit と書いてますが、ちゃんと読むと、Internet Exlorer と Office で Attack Surface Reduction (ASR、攻撃面の縮小) 緩和策の利用を勧めていますね。 ASR はインターネット ゾーンの設定に基づいて、特定のモジュールの読み込みをブロックする機能です。

The Microsoft Enhanced Mitigation Experience Toolkit (EMET) can be used to help prevent exploitation of this vulnerability. In particular, Attack Surface Reduction (ASR) can be configured to help restrict Microsoft Office and Internet Explorer from loading the Flash ActiveX control.

EMET の推奨設定のアプリの緩和策設定（Recommended Software.xml）では、Internet Explorer の ASR の設定に Flash の ActiveX　コントロールは対象になっていません。“EMET 入ってる”だけじゃだめなんです。Firefox とか別のブラウザーの場合は、そのブラウザーに対して設定する必要があります。

例えば、Internet Explorer の場合は、次のように ASR の対象モジュールとして Flash*.ocx を追加設定してあげない限り、ASR は Flash が悪さしれてもスルーします。ASR　がスルーしても EAF+ ひっかかるかるかもしれませんが （既定で Flash*.ocx が入っているので）、それに期待するより ASR でブロックした方が確実です。

もっと確実なのは、EMET で対策するのではなく、Flash のアンインストールまたはアドインを無効化することであることをお忘れなく。

EMET は特定のサイトでどうしても Flash を利用する必要がある場合の“緩和”策です。ASR でインターネット ゾーンで Flash を無効化し、Flash が必要なサイトを信頼済みサイトに登録するという対応です。

あと、EMET の ASR で対策するのなら、 Flash バージョン テストのページ (→ http://www.adobe.com/jp/software/flash/about/) とかで Flash が読み込まれないことをちゃんと確認しましょう。