独自のピン設定ルールを使う
これらを踏まえて、独自のルールを設定するための手順を紹介しよう。今回は筆者も使っている、ネットバンキングの三菱東京UFJダイレクトを例にする。ポイントは上位もしくはルートCAの証明書を正しく選択する点と、Webサイトのアドレスを正しく入力(ワイルドカードを使えないので注意)する点の2つ。いずれの情報も証明書ダイアログで確認できるため、気になるときは「詳細」タブで内容を確認しよう。
|
自身がよくアクセスするセキュアなWebサイトを開き、証明証ダイアログを呼び出す。「証明のパス」タブに切り替え、ルートCAを選択してから「証明書の表示」ボタンをクリック。これで有効期限を確認できた |
|
EMET 5.0の「Certificate Trust Configuration」ダイアログを呼び出し、「Add Rule」ボタンをクリック。分かりやすいルール名を付けてから「Certificates」→「Import」ボタンと順にクリックする |
|
ここではルート証明書を追加するため、テキストボックスに「VeriSign」と入力し、「Valid To(有効期間の終了)」を参考に選択。「Mark」→「Import」とボタンをクリックする |
|
「Protected Websites」タブをクリックして開き、アクセスするWebサイトのアドレスを正しく入力。「Pin Rule」のドロップダウンリストから、先ほど作成したルールを選択して「OK」ボタンをクリックする |
安全性を考えると、別のクリーンなPCでピン設定ルールを作成し、エクスポートしたXML形式ファイルをメインPCへインポートするとよい。動作検証を行う場合は、異なるピン設定ルールを適用する。例えばTwitter.comのピン設定ルールに、「MSLiveCA」など異なるものを選択すると、Twitter.comにアクセスしたときにエージェント通知が現れる。
|
動作検証時はアクセスするWebサイトと異なるピン設定ルールを選択する |
|
これでWebサイトアクセス時にエージェント通知が現れる |
上図はWindows 7で撮影したものだが、今回、Windows 8.1で同じ操作を行ってもうまく動作しなかった。Windows 7環境でもエージェント通知が現れたのは1回のみで、前バージョンのEMETでは見かけなかった現象だ。EMET 5.0特有の問題なのか、検証したPCやその他環境の問題なのかはっきりしないが、見たままの例として記しておく。
なお、本機能はInternet Explorerのみを対象にしている。他のWebブラウザーでも動作させる場合は、レジストリの編集が必要だ。レジストリエディタを使い「HKEYLOCALMACHINE\SOFTWARE\Microsoft\EMET」キーにある文字列地「EMET_CE」のデータを編集する。
|
文字列地「EMET_CE」のデータを変更することで、Internet Explorer以外のWebブラウザーでも証明書信頼チェックが可能になる |
Mozilla Firefoxを追加するのであれば、「iexplore.exe;firefox.exe」とセミコロンで実行ファイル名を区切る。ただし、EMET 5.0のユーザーガイドによれば、この方法は実験的なものであり、現時点でのサポートは期待できないという。また、前述の理由で筆者も検証は行っていない。
