Enhanced Mitigation Experience Toolkit 【EMET】 にて表示される警告画面…。SSLサーバー証明書(電子証明書)とは何かを考えてみましょう!

【スポンサーリンク】

【スポンサーリンク】

新年のご挨拶


謹賀新年

新年あけましておめでとうございます。

旧年中は当ブログにお越しくださり、大変にありがとうございました。

本年も皆様のお役に立てるように、努めてまいりたいと考えておりますので、どうぞ本年も当ブログをよろしくお願いいたします。

今年1年の皆様のご健康とご多幸を心よりお祈りいたします。

ネットセキュリティブログ管理人

milksizegene


【スポンサーリンク】

はじめに

皆様、こんばんは。いよいよ2014年がスタートしました。

皆様の本年度の抱負は何でしょうか?

僕も思いっきり個人的に小さい目標ですが、今年の抱負として頑張ってまいりたいと思います。

さて新年初めての投稿ですが、リクエスト投稿となります。まずは以下をご覧ください。

リクエスト質問


昨夜からPCにEMETから下記の警告が表示されるうようになりました。 英文を訳すと「EMET はfacebook.comのSSL証明書においてドメイン www.facebooc.com に関連するルール(Facebook CA)で信頼されてないことを検出した」と、このような内容の表示です。 ホームページのYahoo!で繰り返し表示されます。→Windows7 SP1 ブラウザIE11

水飲み場攻撃ではないかと案じております。


EMETにて表示される警告画面、左記がどのようなことを意味しているのかということを知りたいというお問い合わせのようでした。

正直に申しますと、このようなブログを開設している僕もサーバー証明書に関する知識というのは全くありません。

そこでこの機会を幸いとして、今回は特にSSLサーバー証明書について考えてみましょう。

SSLサーバー証明書とは?

ではまずそもそもSSLサーバー証明書とは何なのか?を考えてみましょう。

皆様はSSL通信というものをご存知でしょうか?

SSLとはSecure Socket Layerの略称であり、簡単に申しますとインターネット上でやり取りする通信を安全に行うため、暗号化処理を施したセキュア通信のことを言います。

以下をご覧ください。

EMET4

例えばYahoo Japanにアクセスし、Yahoo Japan IDにログインする画面では上記画像のように、ブラウザのアドレス欄に鍵マークが表示されるはずです。また同様にブラウザのアドレス欄に鍵マークが表示される場合、そのサイトのアドレスにはHttpsというURLが表示されているはずです。

この表記の意味は、この表記が表示されているサイト画面におけて行われる通信は、全てSSL通信でデータが暗号化された状態で行われるということを意味するのです。

これによりブラウザ上に入力した情報が、悪意ある第3者から保護された状態で通信のやり取りが行えるということです。

今では重要な機密情報を扱うサイト上においては、データ保護のためにこのSSL通信を行うことは当然となっています。例えばYahooやgoogleのような検索サイトのログイン画面、各種オンラインバンキングにおけるログイン画面、オンラインショッピングサイトにおける購入画面等でしょうか。

以上がSSL通信に関する簡単なご説明となります。

しかし一方皆様、再度考えてください。確かにSSL通信を用いることでやり取りを行うデータについては保護されるはずです。

しかし万一SSL通信を用いてやり取りを行うサイト自体が不正なサイトとしたら…、どうなるでしょうか?

いくら通信自体を暗号化しても全く無意味になってしまいますね。そこでSSLサーバー証明書の登場というわけです。

つまりSSLサーバー証明書とは、SSL通信を用いてやり取りを行うサイトが間違いなく本物のサイトであるということを証明するための電子証明書のことを指します。

SSLサーバー証明書は主に2つの役割を有しています。


【SSLサーバー証明書の役割】

・情報を暗号化するSSL通信の確認

・SSL通信にてデータのやり取りを行うサイト(運営者)の証明


そしてこのSSLサーバー証明書ですが、『認証局』と呼ばれる第3者機関により発行されています。(認証局の最大大手としてはこちら

以上がSSLサーバー証明書に関する説明となります。この仕組みを見ると、SSLサーバー証明書が現実世界における何かの仕組みとよく似ていると感じないでしょうか?

認証局を公的機関に例えますと、実印と印鑑登録証明書の仕組みとよく似ていると思います。いわばSSLサーバー証明書とは、電子化された印鑑登録証明書ともいえるのかもしれません。

電子証明書をチェックする仕組みとは?

それでは次にSSLサーバー証明書等を含む電子証明書をチェックする仕組みについて考えてみましょう。

皆様はインターネットを利用する際に、起動したブラウザ上にて、以下のような画像を見たことはないでしょうか?

EMET6

この画像はアクセス先のサイトにおける電子証明書のエラーに関する警告画面です。

このような警告画面が表示されませんと、インターネットを利用する我々が普段気付くことは少ないですが、電子証明書をチェックする機能はインターネットを利用するためのブラウザ機能として組み込まれています。

ではブラウザに組み込まれている電子証明書をチェックする機能について簡単にご説明しましょう。


ブラウザにて電子証明書をチェックする流れ

1、ブラウザにてウェブサイトにアクセスする際に、アクセス側のサイトより電子証明書が提示される

2、ブラウザは信頼のおける認証局より自己署名された大元の証明書が内包されており、アクセス先のサイトより提示された電子証明書の発行元(認証局)を左記の内包されている証明書と合致させることにより、提示された電子証明書の正当性をチェックする

3、チェック時に提示された電子証明書に不備があった場合、警告画面を表示する


上記のような流れになるようです。なおブラウザに内包されている信頼のおける認証局より自己署名された大元の証明書を総称してルート証明書と呼ばれています。

このようにブラウザに組み込まれている電子証明書をチェックする機能とは、アクセスする際に相手側のサイトから提示された電子証明書を内包しているルート証明書を用いて発行元(認証局)を確認することで正当性をチェックする機能ということになります。

さてここまでいかがでしょうか?

次に今回のテーマの一つであるEnhanced Mitigation Experience Toolkit (通称:EMET)における電子証明書をチェックする仕組みを考えてみましょう。

当ブログにおいても何度か登場しているEMET。日本語名は脆弱性緩和ツールと呼ばれ、OS及びアプリケーションの脆弱性を悪用する攻撃を緩和することを目的としたツールです。

実はこのEMET、2013年にリリースされたver.4から新たな機能として電子証明書をチェックする機能を搭載しました。

EMET

EMET1

上記の画像は、EMETの画面に表示されている電子証明書をチェックする機能の項目です。

EMETに搭載された電子証明書をチェックする機能については、日本マイクロソフトのブログに書かれていることをご覧いただきたいと思います。

EMET 4 新機能 ? 証明書チェック機能の追加


最新バージョンの EMET 4では、緩和策の強化やログ機能の強化なども行われていますが、新機能として証明書のチェック機能が追加されました。この機能は昨今の PKI 利用拡大に伴う不正な証明書などの問題の増加が背景となり追加されました。

あらかじめ、機能を適用するSSL/TLS の WEB サイトと、サイトが利用するルート証明機関の証明書の組み合わせを EMET で指定しておきます。IE で指定の WEBサイト閲覧時には、CA 証明書が指定されたものであるかを確認し、異なる場合は、エラーを通知します。

もちろん、Internet Explorer および Windows の既定の機能でも、信頼されたルート証明機関であるかなど、一般的なセキュリティとして十分なチェックは行われます。しかしながら、EMET は、よりセキュリティを強固にしたい環境のために、さらに強化した証明書のチェックの機能を提供しているのです。

EMET3

EMET5


僕も自信がありませんが、上記のブログ内容を簡単に要約しますと、EMETに搭載された電子証明書をチェックする機能はブラウザに搭載されている同機能と比較して、より一層セキュリティを強化したチェック機能であると書いているのだと思います。

つまりブラウザに組み込まれている電子証明書のチェック機能では、ルート証明書を用いた電子証明書の発行元をチェックするのみですが、EMETに搭載された電子証明書をチェックする機能においては、EMETに設定しておいたサーバー証明書及びルート証明書を用いて、アクセスする側のサイトから提示された電子証明書を複合的にチェックすることができるということではないでしょうか。

昨今のネット犯罪においては、例えばブラウザに組み込まれている電子証明書のチェック機能が利用するルート証明書に関しても、こちらの記事内容のようにルート証明書さえ偽装される時代ですから、EMETのような複合的なチェックの仕組みというものも必要となるのでしょう。

さてそれでは最後にブラウザ及びEMETにおける電子証明書のチェック機能にて表示された警告画面に対する対処方法を記載しておきたいと思います。

ブラウザ及びEMETにおける電子証明書のチェック機能にて表示された警告画面に対する対処方法

さて前項では電子証明書をチェックする仕組みについて記載してまいりました。

この項では最後に電子証明書のチェック機能にて表示された警告画面に対する対処方法を記載してまいりたいと思います。

基本的に電子証明書のチェック機能にて表示された警告画面のサイトは、不正なサイトである可能性がありますから、アクセスしないことが推奨されます。(なおEMETにおける電子証明書のチェック機能については、警告画面の表示はありますが、サイト自体へのアクセスを遮断する機能はありませんのでご注意ください。)

しかし例えばPCの日付及び時刻設定に関するエラーやアクセスするサイト自体の電子証明書の期限切れ等の事態において、警告画面が表示されることも考えられます。

そこで警告画面に関する回避策について記載しておきます。

まずブラウザに関してですが、マイクロソフトの公式サイトにて解決策が示されていますから、こちらをご覧ください。

次にEMETについてです。まずEMETのメイン画面を起動します。

EMET0

メイン画面のTrustをクリックしてください。

EMET2

画像では今回のリクエスト質問に該当する電子証明書の項目のチェックを外すことを記載していますが、本来は警告画面に表示される電子証明書の内容に従ってチェックを外すようにしてください。

これで今回の投稿はすべて終了です。

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外の脆弱性対策ツールの使い方に関連する記事に興味がある方は、ぜひ一度以下の脆弱性対策ツールの使い方に関連する記事のまとめを参照してください。


<脆弱性対策ツールの使い方に関連する記事のまとめ>

1、URL

脆弱性対策ツールの使い方に関連する記事のまとめ


それでは以上です。