Internet Explorer および Outlook Express のクロスサイト スクリプト問題の予防策

文書翻訳 文書翻訳
文書番号: 253117 - 対象製品
この記事は、以前は次の ID で公開されていました: JP253117
すべて展開する | すべて折りたたむ

目次

概要

マイクロソフトでは、多くの Web サイトおよび Web サイト ユーザーに影響を与える可能性のある深刻な脆弱性を確認しました。"クロスサイト スクリプト" として知られているこの脆弱性は、スクリプトの実行が可能なすべてのプログラムで問題となる可能性がありますが、それらのプログラムの欠陥が原因ではありません。この脆弱性は、Web コーディングにおける一般的な慣習が原因となっています。この問題の詳細については、下記のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/archive/security/news/crssite.mspx
この資料では、Web サイト所有者がコードを見直して必要な変更を行っている間に、Web を安全に閲覧し続けることができるようにするための手順を説明します。スクリプトを使用するプログラムはすべて、この脆弱性の影響を受けるおそれがあります。この資料では、冒頭に記載されるマイクロソフトのプログラムの使用時にこの問題の影響を最小限に抑えるための手順を紹介しています。別の製造元のプログラムを使用している場合は、プログラムの設定方法を製造元に確認することをお勧めします。

詳細

この問題の影響を最小限にするための予防策があります。あらゆるユーザーの方に、この手順を実行することをお勧めします。

重要 : 以下で説明する予防策は、Microsoft Internet Explorer、Outlook、および Outlook Express のサポート バージョンと非サポート バージョンの両方を対象にしています。非サポート バージョンの製品を実行している場合は、以下の予防策を使用することに加え、サポート バージョンの製品にアップグレードし、その後、次の Microsoft Windows Update Web サイトから最新のセキュリティ更新プログラムを適用することを強くお勧めします。
http://update.microsoft.com
Microsoft Internet Explorer、Outlook、および Outlook Express のサポート バージョンの関連情報については、次のマイクロソフト Web サイトを参照してください。
Microsoft Internet Explorer および Outlook Express
http://support.microsoft.com/gp/lifeselectintmsn
Microsoft Outlook
http://support.microsoft.com/gp/lifeselectoff

電子メール メッセージでのクロスサイト スクリプトの予防方法

電子メール メッセージでのクロスサイト スクリプトの発生を防ぐには、制限付きゾーンでアクティブ スクリプトをオフにして、受信するすべての電子メール メッセージが制限付きゾーンで実行されるようにします。

: Outlook Express 6 および Outlook 2002 ではデフォルトでアクティブ スクリプトが無効にされています。

制限付きゾーンでアクティブ スクリプトをオフにする方法およびすべての制限付きゾーンですべての電子メールが実行できるように設定する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
192846 [OLEXP] Outlook Express でアクティブ スクリプトを無効にする方法
215774 [OL2000] HTML メッセージに埋め込まれたスクリプトが警告なしに実行される
Outlook Express 6 のウイルス防止機能の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
291387 Outlook Express 6 のウイルス防止機能を使用する方法

Web 閲覧時、電子メール メッセージ開封時の攻撃に対する予防策

  • 悪質なコードを使用していないことが確認できる Web サイトを閲覧します。
  • Web サイトへの最初の接続方法に注意してください。Web サイトへの最も安全な接続方法は、Web アドレスをブラウザに直接入力するか、または安全に保存されたローカルのブックマークまたはお気に入りを使用することです。これを行うことにより、機能を維持しながら、情報が暴露される可能性を著しく減少させることができます。
  • メッセージのハイパーリンクは、信頼できる人から送られてきたメッセージと思われる場合であっても、クリックしないでください。悪質なユーザーが、電子メール メッセージの [差出人] 欄に偽の名前を表示させている可能性があります。

クロスサイト スクリプト攻撃からの回復

: 以下の手順は、クロスサイト スクリプトを使用している Web サイトに接続したことがあるという確かな証拠がある場合のみ実行してください。以下の手順を実行すると、再度訪問する Web サイトの登録、カスタマイズをやり直さなければならなくなります。

クロスサイト スクリプトを停止するには、次の手順を実行します。
  1. Internet Explorer を終了します。
  2. Internet Explorer を再度起動して、以下のような安全な Web サイトに接続します。
    http://www.microsoft.com/japan/
  3. コンピュータ上のすべての Cookie ファイルを削除します。これを行うには、使用している Internet Explorer のバージョンに合わせて、以下のいずれかの手順に従ってください。

    Windows 98、Windows NT 4.0、Windows 98 Second Edition、Windows Millennium Edition、Windows XP、または Windows 2000 対応の Internet Explorer 6

    1. [表示] メニューの [インターネット オプション] をクリックし、[全般] タブをクリックします。
    2. [インターネット一時ファイル] の下の [Cookie の削除] をクリックし、[OK] を 2 回クリックします。

    Windows 95、Windows 98、Windows NT 4.0、Windows 98 Second Edition、または Windows 2000 対応の Internet Explorer 5.x

    1. [表示] メニューの [インターネット オプション] をクリックし、[全般] タブをクリックします。
    2. [インターネット一時ファイル] の [設定] をクリックします。
    3. [ファイルの表示] をクリックします。
    4. [表示] メニューの [詳細] コマンドをクリックして選択します。
    5. [インターネット アドレス] 列ラベルをクリックして、スクロールして Cookie ファイル インターネット アドレスを探します。たとえば、Cookie インターネット アドレスの名前は、次のような形式になっています。
      Cookie:jsmith@websitename.com
    6. Cookie ファイルをクリックして Del キーを押します。削除の確認画面が表示されたら、[はい] をクリックします。各 Cookie ファイルに関してこの手順を繰り返します。

    Windows 95、Windows 98、または Windows NT 4.0 対応の Internet Explorer 4.x

    1. [表示] メニューの [インターネット オプション] をクリックし、[全般] タブをクリックします。
    2. [インターネット一時ファイル] の [設定] をクリックします。
    3. [ファイルの表示] をクリックします。
    4. [表示] メニューの [詳細] コマンドをクリックして選択します。
    5. [インターネット アドレス] 列ラベルをクリックして、スクロールして Cookie ファイル インターネット アドレスを探します。たとえば、Cookie インターネット アドレスの名前は、次のような形式になっています。
      Cookie:jsmith@websitename.com
    6. Cookie ファイルをクリックして Del キーを押します。削除の確認画面が表示されたら、[はい] をクリックします。各 Cookie ファイルに関してこの手順を繰り返します。

    Windows 95 または Windows NT 4.0 用の Internet Explorer 3.x

    1. [表示] メニューの [オプション] をクリックし、[詳細設定] タブをクリックします。
    2. [インターネット一時ファイル] の [ファイルの表示] をクリックします。
    3. [名前] 列ラベルをクリックし、スクロールして Cookie ファイルを探します。たとえば、Cookie ファイルの名前は、次のような形式になっています。
      Cookie:jsmith@websitename.com
    4. Cookie ファイルをクリックして Del キーを押します。削除の確認画面が表示されたら、[はい] をクリックします。各 Cookie ファイルに関してこの手順を繰り返します。

    Windows 3.1x および Windows NT 3.51 対応の Internet Explorer 3.x、4.x、または 5

    1. ファイル マネージャで、[ファイル] メニューの [検索] をクリックします。
    2. [検索するファイル名] ボックスに emcookie.dat と入力します。
    3. [検索するディレクトリ] ボックスに、Internet Explorer がインストールされているドライブ名にコロン (:) と円記号 (\) を付けて入力します。たとえば、C:\ のように入力します。
    4. [サブディレクトリまで検索] チェック ボックスをオンにし、[OK] をクリックします。
    5. [検索結果] ウィンドウで Emcookie.dat ファイルをクリックし、[ファイル] メニューの [削除] をクリックします。
    6. [OK] をクリックし、削除確認の画面が表示されたら [はい] をクリックします。[はい] をクリックして [検索結果] ウィンドウを更新します。

    Macintosh 用の Internet Explorer 4.x

    1. [編集] メニューの [初期設定] をクリックします。
    2. [受信ファイル] の [Cookie] をクリックします。
    3. 表示された Cookie の 1 つをクリックします。
    4. [編集] メニューの [すべて選択] をクリックし、[削除] をクリックします。

    HP-UX または Sun Solaris 上の UNIX 対応の Internet Explorer 4 または 5

    1. ユーザーのホーム ディレクトリで、.microsoft ディレクトリに移動します。
    2. .microsoft ディレクトリ内の Cookies ディレクトリに移動します。
    3. このディレクトリ内にあるすべての .txt ファイルを削除します。たとえば、user@www.example.com.txt を削除します。
Cookie の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260971 cookie について

プロパティ

文書番号: 253117 - 最終更新日: 2011年5月14日 - リビジョン: 8.0
この資料は以下の製品について記述したものです。
  • Microsoft Outlook Express 5.0 Macintosh Edition
  • Microsoft Outlook Express 4.5 for Macintosh
  • Microsoft Outlook Express 4.0 for Macintosh
  • Microsoft Internet Explorer 4.0 for UNIX
  • Microsoft Internet Explorer 4.5 for Macintosh
  • Microsoft Internet Explorer 4.01 for Macintosh
  • Microsoft Internet Explorer 4.0 for Macintosh
  • Microsoft Internet Explorer 3.0 for Macintosh
  • Microsoft Internet Explorer 6.0
キーワード:?
kbcssi kbhowto KB253117
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com