8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS14-051の Internet Explorer 用の累積的なセキュリティ更新プログラム 2976627では、古いバージョンの Java ActiveX コントロールを利用している場合、警告を表示して利用をブロックするための、セキュリティ強化の機能変更が含まれています。現時点では、対象となる古い ActiveX コントロールは設定されていませんので、ブロックはされません。ただし、2014 年 9 月 9 日 (米国時間)/2014 年 9 月 10 日 (日本時間) から、古いバージョンの Java の ActiveX コントロールをブロック対象とする予定です。
タイムライン
8 月 13 日 (日本時間):
Internet Explorer 用の累積的なセキュリティ更新プログラム 2976627を公開。自動更新にて配信済み
現時点では、対象となる ActiveX コントロールは設定されていませんので、ブロックはされません
お客様環境で影響の有無の確認テストをお願いしています
9 月 10 日 (日本時間)
古いバージョンの Java ActiveX コントロールのブロックが開始される予定です。
影響を受ける環境
影響を受ける Internet Explorer のバージョン
Windows 7 Service Pack 1 以降のクライアント OS + Internet Explorer 8 以降
Windows Server 2008 R2 以降のサーバー OS + Internet Explorer 8 以降
影響を受けるゾーン
ローカル イントラネット ゾーン/信頼済みサイト 以外のセキュリティ ゾーンのみが、本動作変更の影響を受けます。
・インターネット ゾーン (ブロック有効)
・制限済みサイト ゾーン (ブロック有効)
・ローカル コンピューター ゾーン (ブロック有効)
・イントラネット ゾーン (ブロック無効)
・信頼済みサイト ゾーン (ブロック無効)
影響を受ける ActiveX コントロール
9 月 10 日 (日本時間) にブロックが開始されるのは、以下のバージョンの Java ActiveX コントロールです。
・J 2 SE 1.4 update 43 未満
・J 2 SE 5.0 update 71 未満
・Java SE 6 update 81 未満
・Java SE 7 update 65 未満
・Java SE 8 update 11 未満
※ブロック リストは https://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xmlで確認できます。
動作概要
2014 年 8 月の Internet Explorer 累積更新 (KB2976627) を適用済みの端末においては、ActiveX コントロールを利用するウェブ サイトを閲覧した際、利用している ActiveX コントロールのバージョンを確認し、古いバージョンである場合に警告を表示するための機能がインストールされています。
ブロック対象の ActiveX コントロールのリスト (バージョン リスト versionlist.xml) は、マイクロソフトにて管理され、公開されています。
(バージョン リストの URL: https://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xml )
KB2976627 適用済みの端末は、Internet Explorer を起動している間にバックグラウンドで、非同期的に、バージョン リストを端末にダウンロードします。(KB2976627 をインストール後、12 時間以内に初回のダウンロードを行い、その後定期的にファイルの更新を行います)
ユーザーが実際にウェブサイトを閲覧する際には以下の動作が行われます。
①ユーザーが ActiveX コントロールを利用するウェブ サイトを閲覧します
②バージョン リストにブロック対象として掲載されているバージョンの ActiveX コントロールを利用している場合は、Internet Explorer の通知バーに警告が表示されます
③[更新] ボタンをクリックすると、最新版の ActiveX コントロールに更新して利用継続できます
[今回は実行] ボタンをクリックすると、ブロックを解除してそのまま利用継続が可能です
図:古い ActiveX コントロールのブロック機能動作概要図
機能テストを行う方法
2014 年 9 月 9 日 (米国時間) 以前に、この機能がどのように作動するか理解するためにテストし影響があるかどうか確認をお勧めしています。
新機能のテスト方法は、サポート技術情報をご参照ください。
マイクロソフト サポート技術情報 2991000: Update to block out-of-date ActiveX controls in Internet Explorer (英語情報) (「Testing the out-of-date ActiveX controls feature」の項目を参照してください)
対策方法
ブロック対象となる ActiveX コントロールを利用している場合は、以下方法で、対策を検討してください。
方法 1: 最新版へアップデートする
利用している ActiveX コントロールを最新版に更新してください。
方法 2: ブロック対象の ActiveX コントロールを利用しているウェブサイトを信頼済みサイトへ登録する
信頼済みサイトに登録されているウェブ サイトにおいては、ActiveX コントロールのブロック機能は有効化されていません。
方法 3: グループ ポリシーを構成し、ブロック対象の ActiveX コントロールを利用しているウェブサイトを除外リストとして登録する
グループ ポリシーで、特定のドメインのウェブサイトを除外することが可能です。詳細は「グループポリシーテンプレート」を参照してください。
機能を無効にする方法
古い ActiveX コントロールを利用したままの場合、脆弱性が悪用されセキュリティ被害にあうリスクが高まります。このため、本機能を利用して、古い ActiveX コントロールを利用している場合は通知を行い、更新を行うことを推奨しています。しかしながら、組織内で利用している ActiveX コントロールにおける互換性の問題や移行準備、テスト期間の問題などから、本機能を無効化する必要がある場合は、以下のいずれかの方法で実施することができます。詳細は、IE サポートチームブログを参照してください。
方法 1: グループ ポリシーを利用して、機能を無効にする
本機能自体が無効化する場合
[コンピューターの構成] または [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [セキュリティの機能] > [アドオン管理] [Internet Explorer で 古い ActiveX コントロールのブロックを無効にする]
[ドメインの許可リスト] に追加するドメインのみ本機能が無効化する場合:
[コンピューターの構成] または [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [セキュリティの機能] > [アドオン管理] [特定のドメインについて Internet Explorer で 古い ActiveX コントロールのブロックを無効にする]
方法 2: レジストリを設定し、機能を無効化する
キー: HKCU\Software\Microsoft\Internet Explorer\VersionManager\DownloadVersionList
値: 0(versionlist.xml をダウンロードする機能を無効化する)
※補足: ブロック対象のリスト (バージョン リスト) は、非同期に端末にインストールされており、定期的に更新されています。すでに、ブロック対象のリスト (バージョン リスト) が、端末にインストールされている場合は、削除してください。端末上では、%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml に保存されています。
FAQ
Q. なぜ今回のセキュリティ強化を行うのですか?
A. 大半の ActiveX コントロールは自動更新ではないため、古い ActiveX コントロールを利用したままになっていることが多く、脆弱性が悪用されセキュリティ被害にあうケースが増えています。マイクロソフト セキュリティ インテリジェンス レポートで公開しているように、98.5% の深刻な被害をもたらす攻撃に Java の脆弱性が利用されていました。こうしたことから、今回のセキュリティ強化を行うことで、古いバージョンを利用している場合には、警告を表示し、最新版へ更新を促すことで、より安全なインターネット利用の実現を計ります。
Q.これは Internet Explorer 11 エンタープライズ モードにも影響があるのでしょうか?
A. エンタープライズ モードで指定されているウェブ サイトで利用している ActiveX コントロールも機能変更の影響を受けます。ActiveX コントロールのブロックする機能は、既定では、インターネット ゾーンに対して有効です。このため、エンタープライズ モードで利用しているレガシーのウェブ サイトがインターネット ゾーンで、古い ActiveX コントロール (ブロック対象の ActiveX コントロール) を利用している場合は、ブロック対象となります。
Q. 9 月 9 日 (米国時間) に有効化される際は、どのような方法で有効化されますか
A. MS 14-051 を適用することで Internet Explorer に機能自体は追加されています。ただし、現在は、ブロックを行う ActiveX コントロールは何も設定されていません。9 月 9 日 (米国時間) に、ブロック対象記述された xml ファイルが更新され、Java ActiveX コントロールをブロックするよう変更される予定です。
Q. Internet Explorerでブロックが行われた際、ユーザーにはどのような表示が行われますか
Internet Explorer の通知バーに警告が表示されます。ユーザーは、ActiveX コントロールを最新の状態に更新を行うか、そのまま利用し続けるかを選択することができます。
Internet Explorer 8
Internet Explorer 9 以降
Q. Internet Explorerでブロックが行われた際、ユーザーは ActiveX コントロールをそのまま利用し続けることはできますか
A. はい。ブロックが行われた際に表示される通知バーにて、[今回は実行] ボタンを選択することにより、そのまま ActiveX コントロールを利用することが可能です。ただし、古い ActiveX コントロールはセキュリティの脆弱性などがあり利用し続ける場合はセキュリティ リスクがあります。警告が表示されたら [更新] ボタンをクリックし、最新の状態へ更新することを強く推奨します。
Q.ブロックを行う機能の無効化を行うための操作は、管理者権限を必要とせずに行うことができますか
A. はい。管理者権限を必要とせず、機能を無効化することができます。
下記のレジストリを設定し、機能を無効化することができます。
キー: HKCU\Software\Microsoft\Internet Explorer\VersionManager\DownloadVersionList
値: 0 (機能を無効化する)
※補足: ブロック対象のリスト (バージョン リスト) は、非同期に端末にインストールされており、定期的に更新されています。すでに、ブロック対象のリスト (バージョン リスト) が、端末にインストールされている場合は、削除してください。端末上では、%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml に保存されています。
Q.ブロック対象となる ActiveX コントロールを利用していますが、警告表示を行いたくない場合はどのようにしたらよいですか
A. ブロック対象となる ActiveX コントロールを利用している場合は、以下のいずれかの方法で、ブロックを行わないようにすることができます。
方法 1: 最新版へアップデートする
利用している ActiveX コントロールを最新版に更新してください。
方法 2: ブロック対象の ActiveX コントロールを利用しているウェブサイトを信頼済みサイトへ登録する
信頼済みサイトに登録されているウェブサイトにおいては、ActiveX コントロールのブロック機能は有効化されていません。
方法 3: グループ ポリシーを構成し、ブロック対象の ActiveX コントロールを利用しているウェブサイトを除外リストとして登録する
グループ ポリシーで、特定のドメインのウェブサイトを除外することが可能です。詳細は「グループポリシーテンプレート」を参照してください。
http://www.microsoft.com/en-us/download/details.aspx?id=40905
Q. 今後、ブロック対象の ActiveX コントロールは追加される予定がありますか
A. 将来、その他の ActiveX コントロールもブロック対象とするよう、追加を行っていく予定です。現時点では具体的な次の予定はありません。なお、2014 年 9 月よりブロックを開始する Oracle Java ActiveX コントロールについては、Oracle から新しいバージョンが発表されたのち、30 日後に旧バージョンのブロックを、自動的に開始します。
Q. 今後、ブロック対象の ActiveX コントロールが追加される場合、どのように告知が行われますか
A. 新規に (既に追加されている Java 以外) ブロック対象の ActiveX コントロールは、実際にブロックを開始する 30 日前には、告知を行う予定です。告知は、Internet Explorer 公式ブログ http://blogs.msdn.com/b/ie/などで行う予定です。Java に関しては、Oracle から新しいバージョンが発表されたのち、30 日後に旧バージョンのブロックを、自動的に開始します。
Q. どのような基準で、ブロック対象の ActiveX コントロールを決定しているのですか
A. ブロックを行っている背景としては、古い ActiveX コントロールに残存している脆弱性が悪用され広範囲にセキュリティ被害にあっている状況から、ユーザーを保護する目的があります。このため、ブロック対象の ActiveX コントロールは、基本的に、一般によく知られており、また、古い (最新ではない) バージョンをブロックすることを対象としています。エンタープライズの特定の環境で少数に使われている ActiveX コントロールはブロック対象とはしない予定です
Q. ブロックの対象となる ActiveX コントロールを、独自に設定し、配布することはできますか (ブロック リストをカスタマイズして、利用することはできますか)
A. 現時点では、独自にブロック リストを作成し (カスタマイズし)、組織内などで独自のリストで運用することはできません。もし、カスタマイズを行う必要がある場合は、用意されているグループ ポリシーの「特定のドメインのみ機能を無効化にするなどの機能を利用し、制御を行ってください。
Q. ブロック対象となっている ActiveX コントロールを Internet Explorer 以外のアプリケーションで利用している場合は影響を受けますか
A. いいえ。この機能は Internet Explorer 上で利用している ActiveX コントロールのみが影響を受けます。
Q. この機能は、クライアント OS の Internet Explorer だけではなく、サーバー OS の Internet Explorer も影響を受けますか
A. はい。この機能は、サーバー OS, クライアント OS 両方の Internet Explorer に搭載されています。
Q. 組織内でプロキシ― サーバーを利用しているなどの理由から、端末が versioninfo.xml ファイルを取得できません。この場合、この機能は動作しますか
A. versioninfo.xml ファイルを取得できない場合は、ブロック対象の ActiveX コントロールがないことになるため、この機能は動作しません。
情報参照先
Out-of-date ActiveX Control Blocking 機能のご紹介
http://blogs.technet.com/b/jpieblog/archive/2014/08/20/3636033.aspx
Out-of-date ActiveX Control Blocking (英語情報)
Internet Explorer begins blocking out-of-date ActiveX controls (英語情報)
Updated Group Policy Settings (英語情報)