Silverlight をインストールするには、ここをクリックします*
Japan変更|すべてのMicrosoft のサイト
Microsoft TechNet
サイトの検索
TechNet セキュリティ > マイクロソフト セキュリティ アドバイザリ

マイクロソフト セキュリティ アドバイザリ (979352)

Internet Explorer の脆弱性により、リモートでコードが実行される

公開日: 2010年1月15日 | 最終更新日: 2010年1月21日
要訳

お知らせ内容

脆弱性の公開

更新プログラム

2010 年 1 月 22 日の公開を予定しています。

被害報告

あり

回避策

あり

対応方法

セキュリティ更新プログラムの提供を予定しています。
本アドバイザリの更新時にメールで通知を受け取る。

概要

概説

マイクロソフトは、Internet Explorer 6の利用者を狙った脆弱性を悪用した限定的な攻撃の報告について、引き続き調査を行っています。このアドバイザリでは、この問題に対する回避策および問題を緩和する要素とともに、影響を受ける Internet Explorer のバージョンに関する情報を提供しています。

マイクロソフトの現在までの調査で、Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 5.01 Service Pack 4 は影響を受けず、Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer 6、Internet Explorer 7 および Internet Explorer 8 に脆弱性があることを確認しています。

この脆弱性は Internet Explorer の無効なポインター参照に存在します。オブジェクトが削除された後でも、特定の状況で、その無効なポインターにアクセスすることができる可能性があります。特別に細工された攻撃では、解放されたオブジェクトにアクセスしようとして、Internet Explorer でリモートでコードが実行される可能性があります。

現時点で、マイクロソフトはこの脆弱性を悪用しようとする Internet Explorer 6 に対する限定された攻撃を確認しています。その他の影響を受ける Internet Explorer のバージョンに対する攻撃は確認していません。注意喚起と脅威環境の拡大のため、マイクロソフトはこの脆弱性用のセキュリティ更新プログラムを定例外で公開することを予定しています。

マイクロソフトは、パートナーがお客様にさらに幅広い保護を提供するために使用できる情報を提供すべく、Microsoft Active Protections Program (MAPP) (英語情報) および Microsoft Security Response Alliance (MSRA) プログラムで積極的にパートナーと協力しています。さらに、積極的にパートナーと協力しながら、脅威全体を監視して、この脆弱性を悪用しようとする悪質なサイトに対して措置を講じます。

マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新プログラムを適用し、ウイルスおよびスパイウェア対策ソフトウェアをインストールすることを推奨しています。詳細情報は マイクロソフト セキュリティ At Home をご覧ください。

問題を緩和する要素

データ実行防止 (DEP: Data Execution Prevention) は、コードが実行される攻撃に対し保護を行います。DEP は、次の Windows オペレーティングシステム上で動作する Internet Explorer 8 で既定で有効です。
Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2, および Windows 7

Windows Vista およびそれ以降の Windows のオペレーティング システム上の Internet Explorer の保護モードは、この脆弱性の影響を制限します。

Web ベースの攻撃のシナリオでは、攻撃者がこの脆弱性の悪用を意図した Web ページが含まれている Web サイトをホストする可能性があります。さらに、侵害された Web サイトおよびユーザーが提供したコンテンツまたは広告を受け入れる、またはホストしている Web サイトに特別に細工したコンテンツが含まれ、この脆弱性を悪用する可能性があります。しかし、すべての場合において、これらの Web サイトに強制的にユーザーを訪問させることはできません。それに代わり、攻撃者はユーザーを攻撃者の Web サイトに訪問させようとする可能性があります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせ、攻撃者の Web サイトへ誘導します。

攻撃者がこの脆弱性を悪用した場合、ローカルのユーザーと同じユーザー権限を取得する可能性があります。コンピューターでユーザー権限が低い設定のアカウントを持つ場合は、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

既定で、Windows Server 2003 および Windows Server 2008 上の Internet Explorer は、「セキュリティ強化の構成」 と呼ばれる制限されたモードで実行します。このモードはインターネット ゾーンのセキュリティ レベルを「高」に設定します。これは、Internet Explorer の信頼済みサイト ゾーンに追加していない Web サイトに対する「緩和する要素」に該当します。

既定で、すべてのサポートされているバージョンの Microsoft Outlook、Microsoft Outlook Express および Windows メールは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンは、この脆弱性を悪用し、悪意のあるコードを実行しようとする攻撃のリスクを排除します。制限付きサイト ゾーンは、HTML 形式の電子メール メッセージの読み取りの際に、Active スクリプトおよび ActiveX コントロールが使用されないようにすることにより、この脆弱性を悪用しようとする攻撃の緩和に役立ちます。しかし、ユーザーが電子メール メッセージのリンクをクリックすると、Web ベースの攻撃シナリオで悪用した脆弱性の影響を受ける可能性があります。Outlook 2007 は、HTML 形式の電子メールの表示に異なるコンポーネントを使用しているため、この悪用のリスクを排除します。

Top of sectionTop of section

アドバイザリの詳細

問題の参照情報

参照情報番号

CVE リファレンス

CVE-2010-0249

マイクロソフト サポート技術情報

979352

Top of sectionTop of section

影響を受けるソフトウェアおよび影響を受けないソフトウェア

このアドバイザリは次のソフトウェアについて説明しています。

影響を受けるソフトウェア :

Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2 および Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 with SP2 for Itanium-based Systems

Windows Vista、Windows Vista Service Pack 1 および Windows Vista Service Pack 2

Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2

Windows Server 2008 for 32-bit Systems および Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems および Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for Itanium-based Systems および Windows Server 2008 for Itanium-based Systems Service Pack 2

Windows 7

Windows 7 for x64-based Systems

Windows Server 2008 R2 for x64-based Systems

Windows Server 2008 R2 for Itanium-based Systems

Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1

Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 6

Windows Server 2003 Service Pack 2、Windows Server 2003 with SP2 for Itanium-based Systems および Windows Server 2003 x64 Edition Service Pack 2 用の Internet Explorer 6

Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 7

Windows Server 2003 Service Pack 2、Windows Server 2003 with SP2 for Itanium-based Systems および Windows Server 2003 x64 Edition Service Pack 2 用の Internet Explorer 7

Windows Vista、Windows Vista Service Pack 1、Windows Vista Service Pack 2、Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2 の Internet Explorer 7

Windows Server 2008 for 32-bit Systems および Windows Server 2008 for 32-bit Systems Service Pack 2 の Internet Explorer 7

Windows Server 2008 for Itanium-based Systems および Windows Server 2008 for Itanium-based Systems Service Pack 2 の Internet Explorer 7

Windows Server 2008 for x64-based Systems および Windows Server 2008 for x64-based Systems Service Pack 2 の Internet Explorer 7

Windows XP Service Pack 2、Windows XP Service Pack 3 および Windows XP Professional x64 Edition Service Pack 2 用の Internet Explorer 8

Windows Server 2003 Service Pack 2 および Windows Server 2003 x64 Edition Service Pack 2 用の Internet Explorer 8

Windows Vista、Windows Vista Service Pack 1、Windows Vista Service Pack 2、Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2 の Internet Explorer 8

Windows Server 2008 for 32-bit Systems および Windows Server 2008 for 32-bit Systems Service Pack 2 の Internet Explorer 8

Windows Server 2008 for x64-based Systems および Windows Server 2008 for x64-based Systems Service Pack 2 の Internet Explorer 8

Windows 7 for 32-bit Systems の Internet Explorer 8

Windows 7 for x64-based Systems の Internet Explorer 8

Windows Server 2008 R2 for x64-based Systems の Internet Explorer 8

Windows Server 2008 R2 for Itanium-based Systems の Internet Explorer 8

影響を受けないソフトウェア :

Microsoft Windows 2000 Service Pack 4 用の Internet Explorer 5.01 Service Pack 4

Top of sectionTop of section

よく寄せられる質問

このアドバイザリの目的は何ですか?
マイクロソフトは、Internet Explorer に影響を及ぼす新しい脆弱性を確認しています。この Internet Explorer に存在する脆弱性は「概要」の欄に記載されているソフトウェアに影響を及ぼします。

これは、マイクロソフトがセキュリティ更新プログラムを公開する必要のあるセキュリティ上の脆弱性ですか?
注意喚起と脅威環境の拡大のため、マイクロソフトはこの脆弱性用のセキュリティ更新プログラムを定例外で公開することを予定しています。

どのように攻撃者はこの脆弱性を悪用する可能性がありますか?
攻撃者は、Internet Explorer を介してこの脆弱性を悪用するように特別に細工した Web サイトをホストし、ユーザーを誘導してその Web サイトを表示させる可能性があります。また、攻撃者は侵害された Web サイトおよびユーザーが提供したコンテンツや広告を受け入れるまたはホストする Web サイトを利用する可能性があります。これらの Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている場合があります。しかし、すべての場合において、これらの Web サイトに強制的にユーザーを訪問させることはできません。その代わり、攻撃者はユーザーを攻撃者の Web サイトに訪問させようとします。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへ誘導します。また、ActiveX コントロールを使用した Office ドキュメントを通してこの問題が悪用される可能性があります。Office 内で ActiveX コントロールのインストールを無効化するには、「回避策」のセクションを参照してください。

どの回避策をシステムに適用して防御すべきですか?
マイクロソフトの調査に基づくと、インターネット ゾーンのセキュリティ設定を「高」に設定すると、このアドバイザリで説明されている問題からユーザーを保護します。

インターネット ゾーンのセキュリティ設定を「高」にすると、ユーザーはどのようにこの脆弱性から保護されますか?
インターネット ゾーンのセキュリティ設定を「高」に設定すると、Internet Explorer のスクリプトを無効にする、安全性の低い機能を無効にする、データ実行防止 (DEP) 機能を無視するために悪用される既知の方法を阻止することにより、この脆弱性に対し、保護されます。

Windows Vista およびそれ以降のバージョンの Windows オペレーティング システム上の Internet Explorer の保護モードはどのようにこの脆弱性の影響が制限されるのですか?
Windows Vista およびそれ以降の Windows オペレーティング システムの Internet Explorer は、既定でインターネットのセキュリティ ゾーンで保護モード (英語情報) で実行されます。(イントラネット ゾーンで、保護モードは既定でオフにされています) 保護モードは、攻撃者がユーザーのコンピューター上でのデータへの書き込み、改ざん、破壊、または悪質なコードのインストールを行うことを大幅に低減します。これは、プロセス、ファイルおよびレジストリ キーへのアクセスをより統合されたレベルで制限する Windows Vista の統合メカニズムを使用して行われます。

Address Space Layout Randomization (ASLR) とは何ですか?
システムには Address Space Layout Randomization が実装されており、メモリ内で、通常予測可能な関数のエントリ ポイントをランダムに配置します。Windows ASLR は、DLL または EXE をメモリ内の 256 箇所のうちランダムに1か所に再配置します。このため攻撃者は、256 分の 1 の割合で「ここが正しそうだ」とハードコードされたアドレスを推測する必要があります。ASLR の詳細については、TechNet マガジンの記事 Windows Vista カーネルの内部: 第 3 部をご覧ください。

データ実行防止 (DEP) とは何ですか?
データ実行防止のサポートは Internet Explorer に含まれていますが、既定で Internet Explorer 8 では有効、それ以前の Internet Explorer のバージョンでは既定で無効となっています。DEP は、実行不可能とマークされているメモリでコードが実行されないようにし、攻撃を防ぐよう設計されています。Internet Explorer の DEP に関する詳細情報は、MSDN ブログ IE8 セキュリティ パート I: DEP/NX メモリの保護をご覧ください。

データ実行防止 (DEP) は、Internet Explorer 8 で回避できますか?
新たにデータ実行防止 (DEP) での悪用報告があります。マイクロソフトは検証コード、エクスプロイト コードの分析をし、Windows Vista 以降のバージョンの Windows では Address Space Layout Randomization (ASLR) により、悪用をブロックするのに有効であることを確認しています。Windows XP では、攻撃者はより確実なバイパス技術が可能になっています。

Top of sectionTop of section

推奨するアクション

コンピューターを保護する

マイクロソフトは引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、ウイルス対策ソフトウェアをインストールすることを推奨しています。これらのステップについては、Protect Your PC Web サイト をご覧ください。

インターネットにおける安全性に関する詳細情報は、マイクロソフトのセキュリティ ホーム ページをご覧ください。

回避策

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃手法を阻止するために役立ちます。回避策により機能性が低下する場合、次のセクションで説明しています。

インターネットおよびローカル イントラネット ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示する

インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示することは、この脆弱性の悪用を防ぐのに役立ちます。これは、ブラウザーのセキュリティ設定を「高」に設定して実行します。

Internet Explorer のブラウザーのセキュリティ レベルを上げるには、以下のステップに従ってください。

1.

Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。

2.

[インターネット オプション] ダイアログ ボックスで、[セキュリティ] タブをクリックし、次に [インターネット] アイコンをクリックします。

3.

[このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。

注: スライダーが表示されていない場合、[既定のレベル] ボタンをクリックし、次にスライダーを「高」に移動させます。

注: セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、そのサイトは、セキュリティが「高」に設定されていても、適切に実行されるようになります。

回避策の影響: ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはバンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトの実行前にダイアログを表示する設定はグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。この回避策を行うと、ダイアログが頻繁に表示されます。各ダイアログ表示で、訪問している Web サイトが信頼できる場合、[はい] をクリックして ActiveX コントロールまたはアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログ表示が必要ない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示するように設定した後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。これを行うために、次のステップに従ってください。

これを行うために、次のステップに従ってください。

1.

Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。

2.

[Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。

3.

暗号化されたチャネルを必要としない Web サイトを追加したい場合、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] のチェック ボックスをクリックし、チェックを外します。

4.

[次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。

5.

ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。

6.

[OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。

注: コンピューターで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが必要です。

Top of sectionTop of section
インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または アクティブ スクリプトを無効にするよう構成する

インターネットおよびローカルのイントラネット セキュリティ ゾーンでアクティブ スクリプトが実行される前にダイアログが表示されるように設定を変更、またはアクティブ スクリプトを無効にするよう設定を変更することにより、この脆弱性の悪用を防ぐ手助けを行うことができます。これを行うために、次のステップに従ってください。

1.

Internet Explorer で、[ツール] メニューから [インターネット オプション] をクリックします。

2.

[セキュリティ] タブをクリックします。

3.

[インターネット] のアイコンをクリックし、次に [レベルのカスタマイズ] ボタンをクリックします。

4.

[設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。

5.

[イントラネット] をクリックし、[レベルのカスタマイズ] をクリックします。

6.

[設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。

7.

[OK] を 2 回クリックし、Internet Explorer に戻ります。

注: インターネットおよびイントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にすると、Web サイトが正しく動作しなくなる場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、その Web サイトは正しく動作するようになります。

回避策の影響: アクティブ スクリプトの実行前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはアクティブ スクリプトを使用して、追加の機能を提供しています。たとえば、オンラインの電子商取引またはバンキング サイトにはアクティブ スクリプトを使用して、メニュー、注文書、計算書などを提供しているものもあります。アクティブ スクリプトの実行前にダイアログを表示する設定はグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。この回避策を行うと、ダイアログが頻繁に表示されます。訪問している Web サイトが信頼できる場合、各ダイアログ表示で [はい] をクリックしてアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログ表示が必要ない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示するように設定した後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。これを行うために、次のステップに従ってください。

1.

Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。

2.

[Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。

3.

暗号化されたチャネルを必要としない Web サイトを追加したい場合、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] のチェック ボックスをクリックし、チェックを外します。

4.

[次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。

5.

ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。

6.

[OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。

注: コンピューターで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが必要です。

Top of sectionTop of section
Internet Explorer 6 Service Pack 2 または Internet Explorer 7 で DEP を有効にする

データ実行防止 (DEP) が Internet Explorer で有効である場合、この脆弱性は悪用がさらに困難になります。次のいずれかの方法を使用して、DEP をサポートしているすべてのバージョンの Internet Explorer で DEP を有効にすることができます。

Internet Explorer 7 の DEP を対話的に有効にする

Internet Explorer を管理者として実行することで、ローカルの管理者は DEP/NX を制御できます。DEP を有効にするには、次のステップを実行します。

1.

Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [詳細設定] タブをクリックします。

2.

[オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする] をクリックします。

自動化された Microsoft Fix It により Internet Explorer で DEP を有効にする

自動化された Microsoft Fix it ソリューションを使用してこの回避策を有効または無効にするには、サポート技術情報 979352 をご覧ください。

回避策の影響: いくつかのブラウザー拡張は DEP に互換性がなく、予期せず終了する可能性があります。このような場合、アドオンを無効または、インターネット オプションで取り消すことができます。[コントロール パネル] の [システム] を使用しても行えます。

Top of sectionTop of section
Office 2007 の ActiveX コントロールの有効化と無効化

ActiveX コントロールを使用した Office 2007 ドキュメントを通したこの脆弱性による悪用を低減するために、次の手順を行い Office ドキュメント内の ActiveX コントロールの無効化を行います。Office 2007 の ActiveX コントロールの無効化に関する詳細情報は、Microsoft Office Online Web サイト Office ドキュメントの ActiveX コントロールを有効または無効にするをご覧ください。

次のいずれかの方法を使用して、Office 2007 アプリケーションの [セキュリティ センター] を開きます。[ActiveX の設定] を選択したら、[警告を表示せずにすべてのコントロールを無効にする] を選択し、[OK] をクリックします。

注: Office アプリケーションの ActiveX コントロールの設定を変更した場合、その設定はコンピューター上のその他の Office プログラムでも変更されます。

Excel
[Microsoft Office] のボタンをクリックし、[Excel のオプション] を選択し、順番に [セキュリティ センター]、[セキュリティ センターの設定] を選択し、次に [ActiveX の設定] を選択します。

Outlook
[ツール] メニューから 順番に [セキュリティ センター]、[セキュリティ センターの設定] を選択し、次に [ActiveX の設定] を選択します。

PowerPoint
[Microsoft Office] のボタンをクリックし、[PowerPoint のオプション] を選択し、順番に [セキュリティ センター]、[セキュリティ センターの設定] を選択し、次に [ActiveX の設定] を選択します。

Word
[Microsoft Office] のボタンをクリックし、[Word のオプション] を選択し、順番に [セキュリティ センター]、[セキュリティ センターの設定] を選択し、次に [ActiveX の設定] を選択します。

Access
[Microsoft Office] のボタンをクリックし、[Access のオプション] を選択し、順番に [セキュリティ センター]、[セキュリティ センターの設定] を選択し、次に [ActiveX の設定] を選択します。

InfoPath
[ツール] メニューから 順番に [セキュリティ センター]、[セキュリティ センターの設定] を選択し、次に [ActiveX の設定] を選択します。

Publisher
[ツール] メニューから 順番に [セキュリティ センター]、[セキュリティ センターの設定] を選択し、次に [ActiveX の設定] を選択します。

Visio
[ツール] メニューから 順番に [セキュリティ センター]、[セキュリティ センターの設定] を選択し、次に [ActiveX の設定] を選択します。

回避策の影響: ActiveX コントロールは Microsoft Office アプリケーションでインスタンス化されなくなります。

Top of sectionTop of section
予期していないファイルを開かない

信頼できない、または信頼できるソースから予期せず受け取った Microsoft Office ファイルを開かないでください。特別に細工されたファイルをユーザーが開いた場合、この脆弱性が悪用される可能性があります。

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

関連情報

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。

Google Inc. および MANDIANT

Adobe

McAfee

Top of sectionTop of section

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。この様な保護環境を提供するセキュリティ ソフトウェア ベンダーの情報は、Microsoft Active Protections Program (MAPP) Partners (英語情報) に記載されている各社のWeb サイトをご覧ください。

Top of sectionTop of section

フィードバック

フィードバックをご提供いただく際は、マイクロソフト サポート オンライン のフォームへ入力をお願いします。

Top of sectionTop of section

サポート

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフトセキュリティ情報センターまでご連絡ください。マイクロソフトセキュリティ情報センター 利用可能なサポートオプションに関する詳細はマイクロソフトサポートオンライン をご覧ください。

その他、製品に関するご質問は、マイクロソフトプロダクトサポートまでご連絡ください。マイクロソフトプロダクトサポートへの連絡方法はこちらをご覧ください。

Microsoft TechNet セキュリティセンター では、製品に関するセキュリティ情報を提供しています。

Top of sectionTop of section

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

Top of sectionTop of section

更新履歴:

2010/01/15: このアドバイザリを公開しました。

2010/01/16: 限定的な標的型攻撃に関する調査の進捗にともなって本アドバザリを改訂しました。「緩和される要素」にデータ実行防止 (DEP: Data Execution Prevention)に関する情報を追加しました。「よく寄せられる質問」の “インターネット ゾーンのセキュリティ設定を「高」にすると、ユーザーはどのようにこの脆弱性から保護されますか?” を改訂しました。

2010/01/21: この脆弱性を悪用しようとする攻撃の本質が変化していることを反映するために、本アドバイザリを改訂しました。また、[問題を緩和する要素] のセクションで、データ実行防止 (DEP: Data Execution Prevention) および Microsoft Outlook、Outlook Express、Windows メールについての情報を明確にしました。「よく寄せられる質問」のセクションで、この脆弱性および悪用の可能性を制限する方法に関する詳細を提供しました。さらに、「回避策」のセクションに「Office 2007 の ActiveX コントロールの有効化と無効化」および「予期していないファイルを開かない」を追加しました。

Top of sectionTop of section

 

Microsoft