Office 2003 および 2007 Office スイートの ActiveX コントロールおよび OLE オブジェクトのセキュリティ設定

文書翻訳 文書翻訳
文書番号: 2252664 - 対象製品
重要: この資料には、コンピューターのセキュリティ設定を低くする方法、またはコンピューターのセキュリティ機能を無効にする方法が記載されています。これらの変更によって特定の問題を回避できますが、これらの変更を行う前に、記載された回避策を現在の環境に使用した場合の危険性を評価することをお勧めします。この資料の回避策の使用を決定した場合は、記載されている手順以外にも、コンピューターを保護するための適切な手順を実行してください。
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では、プレリリース ドキュメントについて説明します。また、この資料は、今後のバージョンで変更される可能性があります。

このセキュリティ更新プログラムを使用すると、Microsoft Office の Kill Bit リストを使用して ActiveX コントロールおよび OLE オブジェクトをロードするかどうかとそのロード方法をユーザーが制御できます。この機能がベースにしている Windows Internet Explorer の Kill Bit の動作に関する詳細については、「ActiveX コントロールが Internet Explorer で実行されないように設定する方法」を参照してください。ここでは、更新された ActiveX コントロールをロードする AlternateCLSID を設定する方法が説明されています。

次のアドバイザリの記事では、リモートでコードが実行される可能性のある、ATL (Active Template Library) ActiveX の脆弱性について説明します。
973882 マイクロソフト セキュリティ アドバイザリ: Microsoft Active Template Library (ATL) の脆弱性により、リモートでコードが実行される

アドバイザリの記事に記載されているすべての機能は、これらの ATL 脆弱性の削減に役立てるために使用できます。また、このセキュリティ更新プログラムにおける具体的な ATL 軽減策についても説明します。

このセキュリティ更新プログラムは、Microsoft Word、Microsoft Excel、Microsoft PowerPoint、Microsoft Publisher、および Microsoft Visio に適用されます。

Office COM Kill Bit

また、特定の COM オブジェクトが Office アプリケーション内で実行されないようにするには、MS10-036 のセキュリティ更新プログラムで導入した Office COM Kill Bit も使用できます。これらの特定の COM オブジェクトには、ActiveX コントロールおよび OLE オブジェクトが含まれています。これで、レジストリを介して、Office の使用時に実行されないようにブロックする ActiveX と OLE オブジェクトを別々に制御できます。

注意事項
  • Office COM Kill Bit が OLE オブジェクトのレジストリで設定されていると、オブジェクトはロードされないため、どのような状況でもオブジェクトはロードできません。
  • Office 2007 では、次のエラー メッセージが表示される場合があります。

    リンクされている外部の OLE ファイルへの参照がブロックされました。
  • Office 2003 では、次のエラー メッセージが表示される場合があります。
    クラス オブジェクトの作成に失敗しました。アクセスが拒否されました。


ロードに失敗する CLSID を特定するには、TechNet の「プロセス監視」を使用します。プロセス監視のログ ファイルで Internet Explorer Kill Bit 設定を調べます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

: COM オブジェクト用に設定された Kill Bit を削除することはお勧めしません。これを実行すると、セキュリティが低下する可能性があります。Kill Bit は通常、重要な場合に設定されるため、ActiveX コントロールの強制終了を取り消す場合は、細心の注意が必要です。

Office COM Kill Bit の適用先である ActiveX コントロールの CLSID に、新しい ActiveX コントロール (この ActiveX はセキュリティの危険性を減らすために修正されました) の CLSID を関連付ける必要がある場合、AlternateCLSID (「フェニックス ビット」とも呼ばれます) を追加できます。Office では、ActiveX コントロール COM オブジェクトが使用される場合のみ、AlternateCLSID がサポートされています。

: Office の Kill Bit リストは Internet Explorer の Kill Bit リストよりも優先されます。たとえば、Office COM の Kill Bit および Internet Explorer ActiveX の Kill Bit は同じ ActiveX コントロールで設定される可能性があります。ただし、AlternateCLSID は Internet Explorer のリストのみで設定されます。このシナリオでは、2 つの設定間で競合が生じます。このような場合には、Office COM Kill Bit 設定が優先されるため、コントロールはロードされません。

Office COM Kill Bit の設定

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。バックアップおよび復元方法の詳細については、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
レジストリ内の Office COM Kill Bit を設定する場所は以下のとおりです。
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
この場合、CLSID は COM オブジェクトのクラス識別子です。Office COM Kill Bit を有効にするには、ロードをブロックする ActiveX コントロールまたは OLE オブジェクトの CLSID と一緒に、レジストリ サブキーを追加する必要があります。また、互換フラグの REG_DWORD 値を 0x00000400 に設定する必要があります。

たとえば、CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} を持つオブジェクトの Office COM Kill Bit を設定したり、次のサブキーを検索したり、REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} をサブキーに追加したりします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
この場合のパスは以下のとおりです。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
0x00000400 の値を持つサブキーを {CLSID} キーに追加すると、Office COM Kill Bit が設定されます。64 ビットおよび 32 ビットのオブジェクトとそれらの Kill Bit は、レジストリの別の場所にあります。

詳細については、以下のマイクロソフト Web サイトにアクセスして、Kill-Bit FAQ を確認してください。

Kill Bit FAQ:パート 1/3

OLE オブジェクトの Internet Explorer Kill Bit リストを無視する方法

[IE Kill Bit リストを無視する] オプションを使用すると、Office 内でロードできる Internet Explorer Kill Bit リストのオブジェクトを具体的に表示できます。Office 内で OLE を安全にロードできることがわかっている場合のみ、[IE Kill Bit リストを無視する] を使用します。Office で [IE Kill Bit リストを無視する] 設定をチェックするときには、Office COM Kill Bit が有効であるかどうかもチェックされます。Office COM Kill Bit が有効である場合、OLE オブジェクトはロードされません。

[IE Kill Bit リストを無視する] オプションを有効にするには、OLE オブジェクトを適切に分類する必要があります。レジストリで、サブキーが既に存在しない場合、実装されているカテゴリと呼ばれるサブキーを COM オブジェクトの CLSID に追加します。次に、OLE オブジェクトのカテゴリ ID (CATID)、{F3E0281E-C257-444E-87E7-F3DC29B62BBD} を持つサブキーを実装されているカテゴリのキーに追加します。

たとえば、Internet Explorer は OLE オブジェクトが削除されるように設定されることがありますが、このオブジェクトを今後も Office で使用するとします。この場合、レジストリ内の次の場所で、その OLE オブジェクトの CLSID を最初に検索する必要があります。
HKEY_CLASSES_ROOT\CLSID
たとえば、Microsoft Graph グラフの CLSID は {00020803-0000-0000-C000-000000000046} です。次に、実装されているカテゴリのキーが既に存在しているかどうかを確認し、存在しない場合にはそのキーを作成する必要があります。この例のパスは以下のとおりです。
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
最後に、実装されているカテゴリのキーに CATID OLE オブジェクトの新しいサブキーを追加します。この例のパスは以下のとおりです。
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

注: OLE オブジェクトのカテゴリ ID (CATID) は {F3E0281E-C257-444E-87E7-F3DC29B62BBD} でかっこ ( { } ) を含める必要があります。

ATL 軽減策を無効にする方法

ATL 軽減策が有効である場合、OleLoadFromStreamsuch を使用するコントロールは機能しないため、コントロール情報は失われます。たとえば、VB6/Windows コモン コントロールはこの問題の影響を受けます。

警告 この資料に記載された回避策を適用することにより、悪意のあるユーザーまたはウイルスなどの悪質なソフトウェアによる攻撃をコンピューターまたはネットワークが受けやすくなる場合があります。この資料の情報は、ユーザーが記載されている回避策を自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。この回避策は、自己の責任においてご使用ください。

これらの ATL 軽減策は広い範囲を対象としているため、必須ではない限りは無効にしないでください。ATL 軽減策を無効にすると、セキュリティが低下する可能性があります。ATL 軽減策を無効にする場合は、信頼できない送信元から受信したとき、または信頼できる送信元であっても突然受信したときには、Microsoft Office ファイルを開かないことをお勧めします。

ATL の脆弱性を参照する軽減策を無効にするには、次のレジストリ サブキーで NoOLELoadFromStreamChecks?REG_DWORD を 00000001 の値に設定します。

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

: このレジストリ サブキーが存在しない場合、このレジストリ サブキーを REG_DWORD 型として作成する必要があります。

Office アプリケーションのスクリプトレット コントロールを無効にする

このセキュリティ更新プログラムをインストールした後に、Office アプリケーションのスクリプトレットを無効にできるので、Internet Explorer の動作は変更されません。

Office アプリケーションのスクリプトレットを無効にするには、次のレジストリ サブキーで互換性フラグの REG_DWORD の値を 00000400 に設定します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

以下に示すのは、Office の拒否一覧に追加することを考慮してもよいその他のコントロールの一覧です。
元に戻す全体を表示する
コントロールCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile{25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed{25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browswer Control{8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit{2D360200-FFF5-11D1-8D03-00A0C959BC0A}

プロパティ

文書番号: 2252664 - 最終更新日: 2013年11月29日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
キーワード:?
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com