Microsoftが無償で提供している「Enhanced Mitigation Experience Toolkit」(EMET)は、マルウェアの攻撃からPCを守る有用なソフトウェアだ。一般的なセキュリティソフトとともに、使い方を覚えておきたいところ。全4回の予定で、EMET 5.0の導入や設定を解説していく。

【ハウツー】今からはじめるMicrosoftの脆弱性緩和ツール「EMET 5.0」

■第1回 - みんな狙われている! より高まるセキュリティの重要性
■第2回 - Windows 8.1にEMET 5.0をインストールする
■第3回 - EMET 5.0の基本的な使い方
■第4回 - EMET 5.0の証明書信頼設定とトラブルシューティング

*

ピン設定ルールで暗号化通信の安全を強化

「EMET(Enhanced Mitigation Experience Tool) 5.0」が備える機能の1つ、証明書信頼設定について述べるが、その前に「証明書」について簡単に述べておこう。

インターネット上のセキュリティ通信は、TLS(SSL)というプロトコルを用いている。TLSによる通信は、ルート認証局(CA)や中間認証局が発行した証明書をサーバーから受信し、その上でサーバーとクライアントが暗号化データを送受信する仕組みだ。ここでは「ネットバンキングなど、安全なデータ送受信を行うために必要」と考えていただきたい。

Internet ExplorerでOneDriveにアクセスした状態。アドレスバーの南京錠アイコンをクリックすると、Webサイトの認証が行われていることを確認できる

こちらは証明書の詳細情報。「onedrive.live.com」は、VeriSignによるEV証明書が発行されている

この証明書は絶対に安心とは言い切れず、サーバー証明書が偽装されるケースもある。過去には、大手の証明書発行企業が攻撃を受け、不正取得した証明書を悪用する中間者(Man in the Middle)攻撃の報告も少なくない。そこでEMET 5.0では、事前に設定したサイトとルートCAの証明書を組み合わせ、CA証明書を確認。異なる場合にエラーを通知する仕組みだ。

EMETのメインウィンドウを呼び出し、「Trust」ボタンをクリックすると現れる「Certificate Trust Configuration(証明書信頼設定)」ダイアログ

「Pinning Rules(ピンルール)」タブに切り替えた状態。推奨設定を用いた場合、適切な設定が行われる

もっとも、ユーザーが何らかの設定を行う必要はない。インストール時に定義ファイル「CertTrust.xml」を読み込んでいるため、仮に興味本位で設定を変更したとしても、元の状態に戻すことは可能だ。また、設定が異なる場合にはエージェント通知が行われるのだが、ルールの作成には一定以上の知識と理解が必要なため、通常はそのまま使うことをおすすめする。

「Certificate Trust Configuration」ダイアログで設定を変更すると、イベントログに情報が書き込まれる

ただし過去にMicrosoftは、EMETのバージョン4.0/4.1向けにピン設定ルールを更新し、最新セットをMicrosoftサポートで公開した経緯がある。今後もそのようなケースが発生する可能性はあるため、EMET 5.0導入後はMicrosoftのアナウンスに注意すべきだ。