Out-of-date ActiveX Control Blocking 機能のご紹介


 

こんにちは。Internet Explorer サポートの 杉谷 です。

 

8月13日(水)に公開されたMS14-051 (KB2976627)より『古いバージョンの ActiveX コントロールの実行をブロックする』機能が追加されています。

 

この機能は"Out-of-date ActiveX control blocking" と呼ばれ、弊社が提供するブロックリスト(xmlファイル)に基づいて、古いバージ ョンの ActiveX コントロールの実行時にアップデートを促す警告を表示します。

 

多くの ActiveX コントロールは自動更新ではないため、バージョンアップされないままになっていることが多く、脆弱性が悪用されるケ ースが増加しています。

 

本機能の追加は、より安全なインターネット利用の実現を計る目的があります。

 

具体的な動作としては、ブロック対象の ActiveXコントロールがIE上で実行される際に以下の通知バーが表示されます。

 

IE8(メッセージをクリックするとメニューが表示されます)

 

 

IE9以降

 

この機能追加は『セキュリティの脆弱性からご利用のPCを守る』非常に大切なものとなりますので、何卒皆様のご理解を頂ければ幸いで す…。

 

それでは機能の詳細をご紹介していきます。

 

対象となるActiveXコントロール

本機能は『広く一般的に利用されている ActiveXコントロール』で『古いバージョンのもの』が対象です。

 

『個別の Web アプリケーションやシステム向けに開発されている ActiveX コントロール』が対象となるという情報はありませんのでご安心ください。

 

現時点では以下のActiveXコントロールが対象です。

 

  ・J2SE 1.4 update 43 未満

  ・J2SE 5.0 update 71 未満

  ・Java SE 6 update 81 未満

  ・Java SE 7 update 65 未満

  ・Java SE 8 update 11 未満

 

※ブロックリストはhttps://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xmlで確認できます。

 

対象となる環境

本機能が動作する環境は以下の通りです

 

  ・Windows 7 SP1 以降のクライアント OS + IE8 以降

  ・Windows Server2008 R2以降のサーバーOS + IE8以降

  ・ローカルイントラネットゾーン / 信頼済みサイト 以外のセキュリティゾーン

 

ブロック開始時期

MS14-051を適用することで機能自体は追加されますが、実際のブロックは日本時間9月10日(水)を予定しております。
(ブロック処理が記述されたxmlファイルに更新された上で配布されます)

 

本機能を無効にする方法1.グループ ポリシー

IE11がインストールされている環境に MS14-051を適用することでグループ ポリシーテンプレートが追加されます。

 

AD環境にIE11がインストールされている場合は MS14-051を適用しポリシーを構成することでクライアント環境にて本機能を無効にできます(配布先クライアントのバージョンについてはIE8以降が対応しています)。

 

※サーバー環境にMS14-051を適用できない場合は、IE11をインストールしたクライアントOSからリモートサーバー管理ツールを使用すること でサーバー環境のGPOにポリシーを構成することが可能です。

 

場所 [コンピューターの構成] or [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント]
> [Internet Explorer] > [セキュリティの機能] > [アドオン管理]
名前 [Internet Explorer で 古い ActiveX コン トロールのブロックを無効にする]
設定 有効
効果 本機能自体が無効化されます

 

場所 [コンピューターの構成] or [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント]
> [Internet Explorer] > [セキュリティの機能] > [アドオン管理]
名前 [特定のドメインについて Internet Explorer で 古い ActiveX コントロールのブロックを無効にする]
設定 有効
効果 [ドメインの許可リスト]に追加するドメインのみ本機能が無効化されます

 

なお、IE11がインストールされていないAD上においても、セントラルストアを使用することでテンプレートを使用可能です。

 

  ◇Administrative Templates for Internet Explorer(グループ ポリシー テンプレート)

    http://www.microsoft.com/en-us/download/details.aspx?id=40905

 

  ◇グループ ポリシー用の ADM テンプレートと ADMX テンプレートの内部(セントラル ストアについて記載があります)

    http://technet.microsoft.com/ja-jp/magazine/2008.01.layout.aspx

 

本機能を無効にする方法2:レジストリ

以下のレジストリを登録することでブロックリストのダウンロードが無効となります。

 

場所 HKCU\Software\Microsoft\Internet Explorer\VersionManager
名前 DownloadVersionList
種類 REG_DWORD
0

 

ブロックリストは以下のフォルダにダウンロードされます。

 

    %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml

 

9月10日(日本時間)以降、ブロック機能が動作するよう更新されたリストをダウンロードすることでブロックが開始されます。

 

8/28:追記

本レジストリ登録の際、ブロックリスト(xmlファイル)のダウンロード先にファイルが存在する場合は削除してください。


これは、9月10日(日本時間)以降に MS14-051 以降の累積更新を適用した環境では、ブロック機能が動作するxmlファイルがダウンロードされる可能性があり、レジストリの登録のみではブロック機能を無効化できない場合があるためです。裏を返せば、9月9日までにレジストリを登録してあれば、xmlファイルの削除は不要ということでもあります。

 

本機能を無効にする方法3:セキュリティゾーンを変更する

本機能は『ローカルイントラネットゾーン』『信頼済みサイト』では動作しないため、セキュリティゾーンを変更することでも回避でき ます。

 

※サイトのセキュリティレベルを下げることになりますのでご注意ください。

※セキュリティ ゾーンはインターネット オプション / グループ ポリシー / レジストリ配布等で変更可能です。

 

事前検証について

ブロック機能の有効/無効化の制御は、弊社 Web サーバーで管理している上述のように xmlファイル内の記述で実現しています。

 

そのため、事前にブロック機能を有効にして実際の動作を検証頂くことができません(申し訳ありません…)。

 

代替案として、本機能に含まれる監査ログを利用した検証方法をご紹介します。

 

8/18 追記:検証方法が公開されました

 

  ◇Update to block out-of-date ActiveX controls in Internet Explorer

    https://support.microsoft.com/kb/2991000/en-us

 

  ※”Testing the out-of-date ActiveX controls feature”という項目に記載がございます。

 


監査ログ

MS14-051を適用により追加されるグループ ポリシーテンプレートにより監査ログ機能を有効にできます(有効にすることで、実際に使用しているActiveXコントロールのバージョン等が確認可能です)。

 

場所 [コンピューターの構成] or [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント]
> [Internet Explorer] > [セキュリティの機能] > [アドオン管理]
名前 [Internet Explorer で ActiveX コントロールのログを有効にする]
設定 有効
効果 ActiveXのログ監査機能が有効になります

 

IE11以外の環境でポリシーテンプレートを利用できない場合は、以下のレジストリを登録することでも監査ログが有効となります(登録には管理者権限が必要です)。

 

場所 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
名前 AuditModeEnabled
種類 REG_DWORD
1

 

有効に設定した状態で検証対象の Web アプリケーションを操作することで以下の場所に監査ログが出力されます

 

    %LOCALAPPDATA%\Microsoft\Internet Explorer\AuditMode\VersionAuditLog.csv

 

ブロックリスト(versionlist.xml)について

本機能はブロックリストに記述されているバージョンとupdateバージョンを参照し動作します。

 

ここでは一例として『Java SE 8』でご説明します。

 

ブロックリストに記述されている"1.8.0_11" から "バージョン8"がブロック対象と判断できますが、update バージョン("11"の部分)に該当するコントロールはブロック対象にはなりませんのでご注意ください。

 

監査ログと比較して確認される際は、updateバージョンが記述されているもの"以外"はブロック対象とご判断ください。

 

また、明示的に記載のないモジュールについてはブロック対象外となります。

 

その他に追加されるグループ ポリシーテンプレート

上記でご紹介したグループ ポリシーテンプレート以外では以下のものが追加されます。

 

場所 [コンピューターの構成] or [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント]
> [Internet Explorer] > [セキュリティの機能] > [アドオン管理]
名前 [Internet Explorer から 古 い ActiveX コントロールに対する[今回は実行]ボタンを削除する]
設定 有効
効果 ブロック時に表示される通知バーから[今回 は実行]が削除されます

 

公開情報

  ◇Out-of-date ActiveX control blocking

    http://technet.microsoft.com/en-us/library/dn761713.aspx

 

  ◇IEBlog - Internet Explorer begins blocking out-of-date ActiveX controls

    http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking- out-of-date-activex-controls.aspx

 

以上です。色々とお手間をお掛けしますが宜しくお願いします!

 


Comments (0)

Skip to main content