Office 2003 および 2007 Office スイートの ActiveX コントロールおよび OLE オブジェクトのセキュリティ設定

Office COM Kill Bit

また、特定の COM オブジェクトが Office アプリケーション内で実行されないようにするには、MS10-036 のセキュリティ更新プログラムで導入した Office COM Kill Bit も使用できます。これらの特定の COM オブジェクトには、ActiveX コントロールおよび OLE オブジェクトが含まれています。これで、レジストリを介して、Office の使用時に実行されないようにブロックする ActiveX と OLE オブジェクトを別々に制御できます。

注意事項

• Office COM Kill Bit が OLE オブジェクトのレジストリで設定されていると、オブジェクトはロードされないため、どのような状況でもオブジェクトはロードできません。

• Office 2007 では、次のエラー メッセージが表示される場合があります。
  

  
  リンクされている外部の OLE ファイルへの参照がブロックされました。
  

• Office 2003 では、次のエラー メッセージが表示される場合があります。
  

  クラス オブジェクトの作成に失敗しました。アクセスが拒否されました。
  

  
  

ロードに失敗する CLSID を特定するには、TechNet の「プロセス監視」を使用します。プロセス監視のログ ファイルで Internet Explorer Kill Bit 設定を調べます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
注: COM オブジェクト用に設定された Kill Bit を削除することはお勧めしません。これを実行すると、セキュリティが低下する可能性があります。Kill Bit は通常、重要な場合に設定されるため、ActiveX コントロールの強制終了を取り消す場合は、細心の注意が必要です。

Office COM Kill Bit の適用先である ActiveX コントロールの CLSID に、新しい ActiveX コントロール (この ActiveX はセキュリティの危険性を減らすために修正されました) の CLSID を関連付ける必要がある場合、AlternateCLSID (「フェニックス ビット」とも呼ばれます) を追加できます。Office では、ActiveX コントロール COM オブジェクトが使用される場合のみ、AlternateCLSID がサポートされています。

注: Office の Kill Bit リストは Internet Explorer の Kill Bit リストよりも優先されます。たとえば、Office COM の Kill Bit および Internet Explorer ActiveX の Kill Bit は同じ ActiveX コントロールで設定される可能性があります。ただし、AlternateCLSID は Internet Explorer のリストのみで設定されます。このシナリオでは、2 つの設定間で競合が生じます。このような場合には、Office COM Kill Bit 設定が優先されるため、コントロールはロードされません。

Office COM Kill Bit の設定

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。バックアップおよび復元方法の詳細については、以下のサポート技術情報番号をクリックしてください。

322756Windows でレジストリをバックアップおよび復元する方法レジストリ内の Office COM Kill Bit を設定する場所は以下のとおりです。

HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}この場合、CLSID は COM オブジェクトのクラス識別子です。Office COM Kill Bit を有効にするには、ロードをブロックする ActiveX コントロールまたは OLE オブジェクトの CLSID と一緒に、レジストリ サブキーを追加する必要があります。また、互換フラグの REG_DWORD 値を 0x00000400 に設定する必要があります。

たとえば、CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} を持つオブジェクトの Office COM Kill Bit を設定したり、次のサブキーを検索したり、REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} をサブキーに追加したりします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibilityこの場合のパスは以下のとおりです。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} 0x00000400 の値を持つサブキーを {CLSID} キーに追加すると、Office COM Kill Bit が設定されます。64 ビットおよび 32 ビットのオブジェクトとそれらの Kill Bit は、レジストリの別の場所にあります。

詳細については、以下のマイクロソフト Web サイトにアクセスして、Kill-Bit FAQ を確認してください。

Kill Bit FAQ:パート 1/3

OLE オブジェクトの Internet Explorer Kill Bit リストを無視する方法

[IE Kill Bit リストを無視する] オプションを使用すると、Office 内でロードできる Internet Explorer Kill Bit リストのオブジェクトを具体的に表示できます。Office 内で OLE を安全にロードできることがわかっている場合のみ、[IE Kill Bit リストを無視する] を使用します。Office で [IE Kill Bit リストを無視する] 設定をチェックするときには、Office COM Kill Bit が有効であるかどうかもチェックされます。Office COM Kill Bit が有効である場合、OLE オブジェクトはロードされません。

[IE Kill Bit リストを無視する] オプションを有効にするには、OLE オブジェクトを適切に分類する必要があります。レジストリで、サブキーが既に存在しない場合、実装されているカテゴリと呼ばれるサブキーを COM オブジェクトの CLSID に追加します。次に、OLE オブジェクトのカテゴリ ID (CATID)、{F3E0281E-C257-444E-87E7-F3DC29B62BBD} を持つサブキーを実装されているカテゴリのキーに追加します。

たとえば、Internet Explorer は OLE オブジェクトが削除されるように設定されることがありますが、このオブジェクトを今後も Office で使用するとします。この場合、レジストリ内の次の場所で、その OLE オブジェクトの CLSID を最初に検索する必要があります。

HKEY_CLASSES_ROOT\CLSID たとえば、Microsoft Graph グラフの CLSID は {00020803-0000-0000-C000-000000000046} です。次に、実装されているカテゴリのキーが既に存在しているかどうかを確認し、存在しない場合にはそのキーを作成する必要があります。この例のパスは以下のとおりです。

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories 最後に、実装されているカテゴリのキーに CATID OLE オブジェクトの新しいサブキーを追加します。この例のパスは以下のとおりです。

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
注: OLE オブジェクトのカテゴリ ID (CATID) は {F3E0281E-C257-444E-87E7-F3DC29B62BBD} でかっこ ( { } ) を含める必要があります。

ATL 軽減策を無効にする方法

ATL 軽減策が有効である場合、OleLoadFromStreamsuch を使用するコントロールは機能しないため、コントロール情報は失われます。たとえば、VB6/Windows コモン コントロールはこの問題の影響を受けます。

警告 この資料に記載された回避策を適用することにより、悪意のあるユーザーまたはウイルスなどの悪質なソフトウェアによる攻撃をコンピューターまたはネットワークが受けやすくなる場合があります。この資料の情報は、ユーザーが記載されている回避策を自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。この回避策は、自己の責任においてご使用ください。

これらの ATL 軽減策は広い範囲を対象としているため、必須ではない限りは無効にしないでください。ATL 軽減策を無効にすると、セキュリティが低下する可能性があります。ATL 軽減策を無効にする場合は、信頼できない送信元から受信したとき、または信頼できる送信元であっても突然受信したときには、Microsoft Office ファイルを開かないことをお勧めします。

ATL の脆弱性を参照する軽減策を無効にするには、次のレジストリ サブキーで NoOLELoadFromStreamChecks REG_DWORD を 00000001 の値に設定します。

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
注: このレジストリ サブキーが存在しない場合、このレジストリ サブキーを REG_DWORD 型として作成する必要があります。

Office アプリケーションのスクリプトレット コントロールを無効にする

このセキュリティ更新プログラムをインストールした後に、Office アプリケーションのスクリプトレットを無効にできるので、Internet Explorer の動作は変更されません。

Office アプリケーションのスクリプトレットを無効にするには、次のレジストリ サブキーで互換性フラグの REG_DWORD の値を 00000400 に設定します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
以下に示すのは、Office の拒否一覧に追加することを考慮してもよいその他のコントロールの一覧です。