筆者はEMETの推奨設定にYahoo!の証明書信頼の設定があることを知っていましたが、規則の期限切れ後もYahoo!にサインインしたときにEMETの通知を目にすることはありませんでした。理由は単純で、Yahoo!ではなく「Yahoo! JAPAN」を利用しているからです。推奨設定の規則は「login.yahoo.com」に対して構成されていますが、Yahoo! JAPANは「login.yahoo.co.jp」なのでEMETの監視対象外だったわけです。
EMETでYahoo! JAPANへのSSL/TLSアクセスを保護するには、「https://login.yahoo.co.jp」で使用されているSSL/TLS証明書のルート証明書をインポートしたピン規則(Pinning Rule)を作成し、保護対象のWebサイト(Protected Website)として「login.yahoo.co.jp」ドメインを追加します。
なお、推奨設定の“YahooCA”には「login.yahoo.co.jp」ドメインに対応するルート証明書は含まれないので、新たにピン規則を自分で作成する必要があります(画面5)。ルート証明書は、ローカルPCの「信頼済みルート証明機関」証明書ストアから簡単にインポートできます。どのルート証明書をインポートすればよいかは、Webサイトの証明書を参照し、証明書のチェーンの最上位にあるルート証明書の拇印で識別してください(画面6)。
この辺りの構成方法が分かれば、自分がよく利用するWebサイトのサービスに対する証明書信頼を適切に構成し、オンラインサービス(例えば、ネットショッピングやネットバンキングなど)をより安心して利用できるようになります。
証明書信頼を構成して、EMETから通知がなければ問題ありません。証明書を信頼できないという通知があった場合、必ずしも中間者攻撃を検出したわけではないことにも留意が必要です。
EMETの通知の理由はさまざまです。先ほどのピン規則の有効期限切れは、通知理由の1つです。この他、検証対象のルート証明書が「信頼されたルート証明機関」ストアから削除された場合や、対象サイトのサーバー証明書がピン規則に含まれない別の証明機関(CA)から発行されたものに変更された場合なども、信頼されていない証明書として通知されます。EMETの証明書信頼を利用する場合はそれを理解した上で、通知がある都度、証明書信頼の規則を再点検してください。
例えば、サポート対象のWindowsを利用している場合、Windows Vista以降に組み込まれた証明書の自動更新/失効機能やルート証明書の更新プログラムによって、年に数回、「信頼済みルート証明機関」のリストが更新され、信頼できなくなったルート証明書への対応が行われます。この更新が原因で、EMETがサーバー証明書を信頼できないものと判断する場合があります。
つい先日公開され、現在でもインターネット全体を騒がせている「OpenSSLのHeartbleedバグ問題」への対応で、多くのWebサイトでサーバー証明書の入れ替えが行われているようです。こうしたWebサイト側の変更が原因で、ピン規則のメンテナンスが必要になることもあります。なお、Heartbleedバグに起因する攻撃をEMETが緩和するかといえば、推奨設定では何も期待できません。EMETの証明書信頼なら有効なのではと考えるかもしれませんが、Heartbleedバグは証明書の問題ではないので関係ありません。
さて、Windows XPの製品サポートは完全に終了しました。これに伴い、Windows UpdateやWindows Server Update Services(WSUS)、MicrosoftダウンロードセンターからのWindows XPに対するルート証明書の新しい更新も終了しました。Windows XPに対する最後の更新は2013年11月の「Windows XP[2013年11月]用のルート証明書の更新プログラム(KB931125)」になります(*2)。
(*2)2014年3月に「Windows XP[2014年3月]用のルート証明書の更新プログラム(KB931125)」がWindows UpdateやWindows Server Update Services(WSUS)で配信されましたが、すぐに取り下げられたようです。取り下げの理由は確認できていません。なお、2014年3月の更新がインストールされている場合、2013年11月の更新が再び検出されるようになります。
Windows XPは今後、「信頼されたルート証明機関」を自らメンテナンスしない限り、信頼できる状態ではなくなる可能性があります。「信頼されたルート証明機関」が信頼できないとなると、EMETで証明書信頼を構成したところで、それも信頼できません。
なお、Windows XP用のルート証明書の更新は、Windows Updateではオプションの更新として検出されます。自動更新や高速インストールではインストールされません。2014年4月の最後の更新をインストールしたというWindows XPユーザーの方は、今一度、カスタムを選択してルート証明書を最新の状態にすることをお勧めします(画面7)。これでもうしばらくは、「信頼されたルート証明機関」を信頼できるでしょう。
今回の記事は最初と最後がWindows XPの話になってしまいましたが、EMETはWindows Vista以降のOSで利用してこそ効果があります。マルウェア対策に加えて、未知の脆弱性に対するゼロデイ攻撃を“もしかしたら”防いでくれるかもしれません。
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2014)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright © ITmedia, Inc. All Rights Reserved.