IEのActiveXコントロールブロック機能が開始 - 阿久津良和のWindows Weekly Report

8月にリリースされたセキュリティ情報「MS14-051」は、Internet Explorerに含まれるバグを修正する更新プログラム「KB2976627」に関するものだ。脆弱性を悪用される可能性を示す「Microsoft Exploitability Index(悪用可能性指標)」も最上位の「0」が付けられた。

だが、MS14-051における最大の注目ポイントは、古いActiveXコントロールをブロックする「Out-of-date ActiveX control blocking」が導入されたことである。当初は即時有効になる予定だったが、リリース直前に猶予期間が設けられた。その期限が9月9日(米国時間)と目前に迫っている。

「Out-of-date ActiveX control blocking」とは

ActiveXはインターネットに関する技術をInternet Explorerなどのソフトウェア上で実行するための機能のひとつだが、その再生環境をコンポーネント化したのがActiveXコントロールである。我々が普段から使っているAdobe Flash PlayerやJavaランタイムなども、ActiveXコントロールとしてInternet Explorerに組み込まれている。

問題は脆弱性を持つActiveXコントロールである。MicrosoftはWindows 8をリリースするにあたり、Internet Explorer向けAdobe Flash Playerを自社の更新プログラムと一緒に配信するようになった。これは、Windowsストアアプリ版Internet ExplorerでAdobe Flashコンテンツをサポートするための処置である。

脆弱性はすべてのソフトウェアに潜んでいる。Adobe Flash Playerは毎月アップデートを行っており、直近の更新プログラムでは、Adobe Flash Playerの脆弱性を利用した攻撃を受けると、特定のWebサイトにユーザーを誘導する可能性があるそうだ。セキュリティ情報を頻繁に発信すると、"穴の多いソフトウェア"だと判断されがちだが、脆弱性情報データベースであるCVE(Common Vulnerabilities and Exposures)などを元に更新プログラムをリリースしていることは評価すべきだろう。

問題はその更新プログラムを適用していない環境である。そこでMicrosoftは、ブロックするActiveXコントロールのバージョンリストをサーバー上に置き、Internet Explorerは同リストを定期的にダウンロードして、通知バーなどで警告を発する機能を用意したのである。

具体的にはJava SE(Java Platform, Standard Edition)各バージョンで、J2SE 1.4 update 43/J2SE 5.0 update 71/Java SE 6 update 81/Java SE 7 update 65/Java SE 8 update 11未満のActiveXコントロールが対象となる。日本マイクロソフトによれば、今後もブロック対象は広く一般で使われているActiveXコントロールを対象に追加していくそうだ。

本来であれば脆弱性を防ぐための更新プログラムは即時適用すべきだが、セキュリティ情報「MS14-045」を修正するための更新プログラム「KB2984615」は、レジストリ上のフォントエントリやウィンドウのzオーダーに関する問題が発生し、Windows Vista/7/8/8.1が起動に失敗するケースや、BSoD(BlueScreen of Death)が発生する現象が発生したばかりである。そのため、更新プログラムの適用をためらうユーザーが出てきてもおかしくはない。

Microsoft/日本マイクロソフトのセキュリティに取り組む姿勢は高く評価できる。過去にはActiveXコントロールの脆弱性に起因する問題が発生し、デジタル署名の付与や実行権限を下げることで、システムにアクセス可能な範囲を狭めるといった対策が講じられてきた。これらのことを踏まえれば、Out-of-date ActiveX control blockingの実装は自然の成り行きである。今後もセキュリティリスクを低下させるための更新プログラム提供時は、より広範囲なテストを踏まえた上でのリリースを期待したい。

阿久津良和(Cactus)