Out-of-date ActiveX Control Blocking 機能のご紹介

こんにちは。Internet Explorer サポートの 杉谷 です。

8月13日(水)に公開されたMS14-051 （KB2976627）より『古いバージョンの ActiveX コントロールの実行をブロックする』機能が追加されています。

この機能は"Out-of-date ActiveX control blocking" と呼ばれ、弊社が提供するブロックリスト(xmlファイル)に基づいて、古いバージ ョンの ActiveX コントロールの実行時にアップデートを促す警告を表示します。

多くの ActiveX コントロールは自動更新ではないため、バージョンアップされないままになっていることが多く、脆弱性が悪用されるケ ースが増加しています。

本機能の追加は、より安全なインターネット利用の実現を計る目的があります。

具体的な動作としては、ブロック対象の ActiveXコントロールがIE上で実行される際に以下の通知バーが表示されます。

IE8（メッセージをクリックするとメニューが表示されます）

IE9以降

この機能追加は『セキュリティの脆弱性からご利用のPCを守る』非常に大切なものとなりますので、何卒皆様のご理解を頂ければ幸いで す…。

それでは機能の詳細をご紹介していきます。

■対象となるActiveXコントロール

本機能は『広く一般的に利用されている ActiveXコントロール』で『古いバージョンのもの』が対象です。

『個別の Web アプリケーションやシステム向けに開発されている ActiveX コントロール』が対象となるという情報はありませんのでご安心ください。

現時点では以下のActiveXコントロールが対象です。

  ・J2SE 1.4 update 43 未満

  ・J2SE 5.0 update 71 未満

  ・Java SE 6 update 81 未満

  ・Java SE 7 update 65 未満

  ・Java SE 8 update 11 未満

※ブロックリストはhttps://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xmlで確認できます。

■対象となる環境

本機能が動作する環境は以下の通りです

  ・Windows 7 SP1 以降のクライアント OS + IE8 以降

  ・Windows Server2008 R2以降のサーバーOS + IE8以降

  ・ローカルイントラネットゾーン / 信頼済みサイト 以外のセキュリティゾーン

■ブロック開始時期

MS14-051を適用することで機能自体は追加されますが、実際のブロックは日本時間9月10日(水)を予定しております。
(ブロック処理が記述されたxmlファイルに更新された上で配布されます)

■本機能を無効にする方法1.グループ ポリシー

IE11がインストールされている環境に MS14-051を適用することでグループ ポリシーテンプレートが追加されます。

AD環境にIE11がインストールされている場合は MS14-051を適用しポリシーを構成することでクライアント環境にて本機能を無効にできます（配布先クライアントのバージョンについてはIE8以降が対応しています）。

※サーバー環境にMS14-051を適用できない場合は、IE11をインストールしたクライアントOSからリモートサーバー管理ツールを使用すること でサーバー環境のGPOにポリシーを構成することが可能です。

なお、IE11がインストールされていないAD上においても、セントラルストアを使用することでテンプレートを使用可能です。

  ◇Administrative Templates for Internet Explorer（グループ ポリシー テンプレート）

    http://www.microsoft.com/en-us/download/details.aspx?id=40905

  ◇グループ ポリシー用の ADM テンプレートと ADMX テンプレートの内部（セントラル ストアについて記載があります）

    http://technet.microsoft.com/ja-jp/magazine/2008.01.layout.aspx

■本機能を無効にする方法2：レジストリ

以下のレジストリを登録することでブロックリストのダウンロードが無効となります。

ブロックリストは以下のフォルダにダウンロードされます。

    %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml

※9月10日（日本時間）以降に更新されるリストをダウンロードすることでブロックが開始されます。

■本機能を無効にする方法3：セキュリティゾーンを変更する

本機能は『ローカルイントラネットゾーン』『信頼済みサイト』では動作しないため、セキュリティゾーンを変更することでも回避でき ます。

※サイトのセキュリティレベルを下げることになりますのでご注意ください。

※セキュリティ ゾーンはインターネット オプション / グループ ポリシー / レジストリ配布等で変更可能です。

■事前検証について

ブロック機能の有効/無効化の制御は、弊社 Web サーバーで管理している上述のように xmlファイル内の記述で実現しています。

そのため、事前にブロック機能を有効にして実際の動作を検証頂くことができません（申し訳ありません…）。

代替案として、本機能に含まれる監査ログを利用した検証方法をご紹介します。

8/18 追記：検証方法が公開されました

  ◇Update to block out-of-date ActiveX controls in Internet Explorer

    https://support.microsoft.com/kb/2991000/en-us

  ※”Testing the out-of-date ActiveX controls feature”という項目に記載がございます。

■監査ログ

MS14-051を適用により追加されるグループ ポリシーテンプレートにより監査ログ機能を有効にできます（有効にすることで、実際に使用しているActiveXコントロールのバージョン等が確認可能です）。

IE11以外の環境でポリシーテンプレートを利用できない場合は、以下のレジストリを登録することでも監査ログが有効となります（登録には管理者権限が必要です）。

有効に設定した状態で検証対象の Web アプリケーションを操作することで以下の場所に監査ログが出力されます

    %LOCALAPPDATA%\Microsoft\Internet Explorer\AuditMode\VersionAuditLog.csv

■ブロックリスト（versionlist.xml）について

本機能はブロックリストに記述されているバージョンとupdateバージョンを参照し動作します。

ここでは一例として『Java SE 8』でご説明します。

ブロックリストに記述されている"1.8.0_11" から "バージョン8"がブロック対象と判断できますが、update バージョン("11"の部分)に該当するコントロールはブロック対象にはなりませんのでご注意ください。

監査ログと比較して確認される際は、updateバージョンが記述されているもの"以外"はブロック対象とご判断ください。

また、明示的に記載のないモジュールについてはブロック対象外となります。

■その他に追加されるグループ ポリシーテンプレート

上記でご紹介したグループ ポリシーテンプレート以外では以下のものが追加されます。

■公開情報

  ◇Out-of-date ActiveX control blocking

    http://technet.microsoft.com/en-us/library/dn761713.aspx

  ◇IEBlog - Internet Explorer begins blocking out-of-date ActiveX controls

    http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking- out-of-date-activex-controls.aspx

…

…

以上です。色々とお手間をお掛けしますが宜しくお願いします！