 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Security > やさしいセキュリティ > ActiveXとInternet Explorerの設定 | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > Security > やさしいセキュリティ > ActiveXとInternet Explorerの設定 | |||||
Microsoftがインターネットをもっと使いやすくするために作り出したActiveX。しかし今日では「危険なため利用しないほうが良い」とまで言われています。Internet ExplorerやOutlookを安全に使うためにActiveXについて知っておきましょう。
ActiveXが危険なプログラムの様に言われていますが、そもそもWindowsという巨大なプログラムの塊は多数のActiveXで構成されています。もともとActiveXとはある特定の処理を行う小さなプログラムのことで、その単位をコンポーネントと呼びます。
例えば画面に文字を表示する「文字表示」のActiveXコンポーネントや、プリンタに文字を出す「文字プリント」のActiveXコンポーネントのようにいろいろな種類のコンポーネントがあります。
ではInternet Explorer(IE)やOutlook Express(OE)で使うと危ないと言われているActiveXとはどういったものなのか見ていきましょう。まずActiveXを配布形態と安全性で分類します。
| デジタル署名とは |
| ActiveXコンポーネントの製造元のメーカが証明書発行機関(VeriSign社など)に依頼して「どこのメーカが作ったものなのか」ということと「コンポーネントの内容が正しいものか」ということを証明するためのものです。証明書の発行には会社の登記情報などが必要で、だれでも自由に証明書はもらえません。 またウィルスなどの作者が証明書を持つということは「私が作りました」という署名をすることになるので、事実上ありえません。またデジタル署名が付いているActiveXを改変してウィルスに変更してもデジタル署名には内容を改変したら分かる仕組みがあるので、証明書が無効になります。 しかし証明発行機関はプログラムの内容の審査まではしないのでデジタル署名があるから100%安全とは言い切れないのも確かです。  デジタル署名から安全かどうかを判断する方法は発行先と発行者と有効期間の3つです。
|
| 安全マークとは |
| Microsoft社のサイトには「安全なコントロールとは、ディスク入出力を行わず、コンピュータのメモリおよびレジスタに直接アクセスしないコントロールのことです」という説明があります。つまりファイルの変更も行わないし、他のプログラムに悪さをしないものだけが安全マークをつけることができるということです。 では安全マークを誰がつけるのかというと、「ActiveXを作った人」です。ということは安全マークも100%信用できるとは言い切れないようです。 |
なぜActiveXが危険なのかを考えてみましょう。「ActiveXの種類」の4つの分類にはどのようなものが含まれているかを見てみます。
ダウンロードしたActiveXでデジタル署名ありのものには日頃よく使うマクロメディアのフラッシュやアドビのアクロバットなど無くてはならないようなものから、PC内のウィルスチェックを無料で行えるウィルス・オンライン・スキャンのように非常にありがたいプログラムもあります。
しかしデジタル署名がないものはウィルスやスパイウェアのように危険なもの、つまり安全が確認できないものがほとんどです。
ローカルのActiveXではWindowsを構成するActiveXコンポーネントでも、その機能により安全マークの有無が変ってきます。安全マークがないということはファイルを自由にアクセスすることも、動作中のプログラムを操作することも可能ということですから非常に危険だということが分かります。
このようにActiveXにはファイルやレジストリを書き換える機能から実行中のプログラムを操作する機能まで「何でもできる」ということが危険だといわれる所以です。
危険なActiveXから身を守るにはどうすればいいのか。それは実行できないように規制することが必要になります。ActiveXの規制にはいろいろな方法があります。その方法を比較してみます。
| 規制する方法 | 長所 | 短所 |
| インターネットオプションで設定して規制する | オプションを設定するだけなので、ツールをインストールする必要はありません | 正常に表示されないサイトがあるので「信頼済みサイト」に登録する必要があります |
| SpywareBlasterやSpywareGuideのツールを利用する | ツールをDownloadするだけで簡単に規制できます | 最新のツールが入っていないと危険なActiveXが実行される危険があります |
| タブブラウザやFirefoxなどIE以外をを使って規制する | ブラウザの設定を変更するだけで簡単に規制できます | 使い慣れたIEからタブブラウザに変更するので慣れが必要です |
ここでは最も一般的な「インターネットオプションの設定」を紹介しましょう。
「スタート」→「コントロールパネル」→「インターネット オプション」で左図の画面がでてきます。ここでは4つのゾーンの各セキュリティレベルを設定します。
4つのゾーンの意味は下表を参照してください。ここでは一番大切な左端の「インターネットゾーン」の設定を説明します。
また「信頼済みサイト」や「制限付きサイト」の登録方法も覚えておきましょう。
 |
インターネット | 通常のインターネットで参照するサイトでイントラネット、信頼済みサイトや制限つきサイト以外の全てのサイトが該当します。 |
 |
イントラネット | 会社内にあるサーバを指定します。個人使用のPCでは指定することはありません |
 |
信頼済みサイト | Windows Updateのサイトやシマンテックなど信頼できるサイトや制限があると支障があるサイトだけを限定して指定します。指定されたサイトはセキュリティが緩い設定(ほとんど許可された状態)で表示されるようになります |
 |
制限付きサイト | 絶対に信頼できない危ないサイト(アダルトやアングラ)は迷わず制限サイトに指定しましょう。指定されたサイトはセキュリティがもっとも厳しく設定(ほとんど無効に)されて表示されます。 |
インターネットゾーンは最初は「高」か「中」になっています。「高」か「中」に関わらず「レベルのカスタマイズ」ボタンをクリックしてください。
先に述べたActiveXの4つの種類の設定画面がでてきます。
左図はXP(SP2)で表示される画面です。
Windows9xなどでは「ActiveXコントロールに対して自動的にダイアログを表示」と「バイナリビヘイビアとスクリプトビヘイビア」は出てきません。
推奨の設定に変更すると正しく表示されないウェブサイトが出てくるケースがあります。そのような場合には、そのサイトの信頼性を考慮して「信頼済みサイト」に登録するようにしてください。
「バイナリビヘイビアとスクリプトビヘイビア」を無効にするとOutlook Expressを起動したときに空白のページが表示されます。(参照:Microsoftの情報ページ)
| スクリプト・ビヘイビア |
ビヘイビアとは何か?ということから説明します。ビヘイビアとは「あるイベントでアクションを起こすこと」です。わかり難いですね。たとえば
このような仕組みをスクリプトを使って構成することをスクリプト・ビヘイビアと呼びます。つまりスクリプトをある決められたタイミングで実行することが「スクリプト・ビヘイビア」であると覚えてください。このときアクションとして危険なActiveXを呼び出すこともできるので規制が必要になります。つまり何らかのイベントでActiveXが呼び出せるのがスクリプト・ビヘイビアということになります。 |
| バイナリ・ビヘイビア |
バイナリー・ビヘイビアもスクリプト・ビヘイビアと同じようには動きのあるページを表示する目的で使用します。マイクロソフト社がサンプルとして公開しているページでバイナリ・ビヘイビアを見てみましょう。
http://msdn.microsoft.com/archive/en-us/samples/internet/browser/RenderBehave/default.asp?frame=true#
 表示されたページの「Demo」という場所をクリックしてください 表示されたページにある図がバイナリ・ビヘイビアのサンプルです。四隅にある丸をマウスで動かすと、下に隠れている文字が見えてきます。バイナリ・ビヘイビアは、スクリプト・ビヘイビアがソースコードで何をするスクリプトなのか判断できるのと異なり、ソースコードを見ても内容が判りません。バイナリ・ビヘイビアもスクリプト・ビヘイビアと同様に危険なActiveXの呼び出しが可能です。 |
ActiveXの制限を厳しくすることで利用できないサイトが出てきます。そのもっとも代表的なサイトが「Windows
Update」です。ActiveXの制限を厳しくすることで他のWindowsの弱点が放置されたままでは、セキュリティが逆に緩くなってしまいます。そこでActiveXなどの制限を緩くするサイトを指定する「信頼済みサイト」に登録を行います。
「信頼済みサイト」はインターネットゾーンのサイトよりもActiveXの制限が緩くなるので、無制限に登録すると危険です。明らかに信頼できる、または信頼しないといけないサイトだけを登録してください。
「信頼済みサイト」を選んで「サイト」ボタンをクリックします。
「次のWebサイトをゾーンに追加する」のエリアにサイトのURLを入力します。例えば"http://www.yahoo.co.jp"と入力して「追加」ボタンをクリックしてください。
追加されたサイトは下の「Webサイト」に表示されます。
また「このゾーンのサイトには全てサーバの確認(https:)を必要とする」はチェックを外します。チェックが付いているとhttps:で始まるサイトでなければ「信頼済みサイト」として利用できません。
Windows Updateのサイトを登録するには下記の4つのサイトを登録します。
| http://Windowsupdate.microsoft.com | Windows全てで共通 |
| http://V4.Windowsupdate.microsoft.com https://v4.Windowsupdate.microsoft.com |
WindowsXP以外はV4ではじまるサイトを登録する |
| http://v5.Windowsupdate.microsoft.com https://v5.Windowsupdate.microsoft.com |
WindowsXPはV5ではじまるサイトを登録する |
| http://Download.Windowsupdate.com | Windows全てで共通 |
またウィルスのオンラインスキャンを行う時にもActiveXが有効になっている必要があるので、オンラインスキャンを実行する前に信頼済みサイトに登録しましょう。各メーカーで登録するサイトは下記のとおりです。
| シマンテック | http://security.symantec.com |
| マカフィー | http://jp.mcafee.com |
| トレンドマイクロ | http://www.trendmicro.co.jp |
| コンピューターアソシエイツ | http://www3.ca.com |
| Panda | http://www.pandasoftware.com |
| BitDefender | http://www.bitdefender.com |
「制限付きサイト」も同じようにサイトを追加します。制限付きサイトはセキュリティがもっとも厳しくなるサイトを特定する場合に利用しますが、よく訪れるサイトをあらかじめ登録しておくための機能です。
初めて訪れるサイトなら「制限付きサイト」に登録する前に「インターネットゾーン」で参照することになるので、「インターネットゾーン」の設定が緩ければ悪意のあるActiveXでウィルスに感染する危険性があります。必ず「インターネットゾーン」の規制を厳しくしてください。
危険なActiveXやサイトをあらかじめ登録して、IEから実行されないように設定する「転ばぬ先の杖」とも言うべき無償ソフトがあります。
・3.SpywareGuideのツール利用方法について
SpywareGuideはSpywareの種類や危険度などを網羅しているたいへん優れたサイトです。このサイトが提供している危険なActiveXから防御するツールを利用する方法を説明します。.
| (1) | SpywareGuideのツールページを開く | ブラウザでhttp://www.spywareguide.com/blockfile.phpを開きます。 |
| (2) | ツールをDownloadする |  ページ中段にある「Choose your flavor」の左側「Minimal Download」の「Download」をクリックします。 「このファイルを実行または保存しますか?」の表示が出たら「保存」をクリックします。 |
| (3) | 保存したファイルを結合する |  ダウンロードしたファイルを右クリックして、出てきたメニューの「結合」をクリックします。 |
| (4) | PCを再起動する | PCを再起動するれば完了です。 一度結合すれば、何度も繰り返して結合する必要はありません。1回だけでOKです。 また何度結合しても問題はありません。 |
| (5) | 最新版をチェックする | 最新のツールが出ていないかを時々チェックしましょう。 下線部の日付が最新ツールの日付です。新しいツールが出ていたら(2)から(4)の方法を再度実行すればOKです。古いツールは上書きされるので、前もって削除する必要はありません。 |
これらのツールを利用して危険なActiveXからPCを防御しましょう。
Internet Explorer(IE)から他のブラウザに乗り換えるのも危険なActiveXから防御するのに有効な方法です。乗り換える場合は2種類の選択があります。
| IEのコンポーネントを利用したタブブラウザ | IEの機能を拡張したブラウザです。いろいろな種類のタブブラウザが無償で公開されています。サイトごとにActiveXの規制ができない場合があります。 |
| FirefoxやOperaなど他社のブラウザ | ActiveXをサポートしていないので安全です。Windows Updateやオンラインスキャンを利用するときにはIEを使わないといけないという制限があります |