マイクロソフト セキュリティ アドバイザリ (2847140)

Enhanced Mitigation Experience Toolkit (EMET) は、脆弱性の悪用を困難にする保護レイヤーを追加することによって、この脆弱性の悪用を防止するために役立ちます。

現時点では、EMET に対するサポートは限定されており、英語のみでご利用可能です。詳細については、サポート技術情報 2458544 を参照してください。

EMET を構成する、詳細情報は、EMET ユーザー ガイドをご参照ください。

• 32 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files\EMET\EMET User's Guide.pdf に保存されています。
• 64 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files (x86)\EMET\EMET User's Guide.pdf に保存されています。

EMET のユーザー インターフェイスで Internet Explorer に対し EMET を構成する

EMET を使用するアプリケーションのリストに Iexplore.exe を追加するには、次のステップを実行します。

1. [スタート]をクリックし、[すべてのプログラム] - [Enhanced Mitigation Experience Toolkit] – [EMET 3.0] をクリックします。
2. UAC のポップアップが出たら [Yes]をクリックし、[Configure Apps] をクリックして [Add] を選択します。EMET で構成するアプリケーションを参照します。
3. 64 ビット版の Microsoft Windows 上では、Internet Explorer の 32 ビット版および x64 版をインストールするパスは次のとおりです。

   C:\Program Files (x86)\Internet Explorer\iexplore.exe

   C:\Program Files\Internet Explorer\iexplore.exe

   32 ビット版の Microsoft Windows 上では、Internet Explorer のパスは、

   C:\Program Files\Internet Explorer\iexplore.exe

4. [OK] をクリックし、EMET を終了します。

コマンド ラインで Internet Explorer に対し EMET を構成する

• すべての EMET 3.0 緩和策に対して Internet Explorer を選択する
• 64 ビット版のシステム上の、32 ビット版の IE のインストールでは、昇格されたコマンド プロンプトで次を実行します。

  "c:\Program Files (x86)\EMET\EMET_Conf.exe" --set "c:\Program Files (x86)\Internet Explorer\iexplore.exe"

  そして、64 ビット版のシステム上で、x64 ビット版の IE をインストールするには、昇格されたコマンド プロンプトで次を実行します。

  "c:\Program Files (x86)\EMET\EMET_Conf.exe" --set "c:\Program Files\Internet Explorer\iexplore.exe"

• 32 ビット版のシステム上で、32 ビット版の IE をインストールするには、昇格されたコマンド プロンプトで次を実行します。

  "c:\Program Files\EMET\EMET_Conf.exe" --set "c:\Program Files\Internet Explorer\iexplore.exe"

• 成功した場合、次のメッセージが表示されます。

  "The changes you have made may require restarting one or more applications" (追加された変更により、1 つ以上のアプリケーションの再起動が必要な可能性があります)

• アプリケーションが既に EMET に追加されている場合、次のメッセージが表示されます。

  Error: "c:\Program Files (x86)\Internet Explorer\iexplore.exe" は、 "C:\Program Files (x86)\Internet Explorer\iexplore.exe" に対する既存のエントリと競合しています。

  EMET_Conf.exe の作動に関する詳細情報は、次のコマンド プロンプトを作動し、コマンドライン ヘルプをご参照ください。

  32 ビット版上

  "C:\Program Files\EMET\EMET_Conf.exe" /?

  64 ビット版上

  "C:\Program Files (x86)\EMET\EMET_Conf.exe" /?

グループ ポリシーを利用して、Internet Explorer 用の EMET を構成する

EMET はグループ ポリシーを利用して構成することが可能です。グループ ポリシーを利用して EMET を構成する詳細情報は、EMET ユーザー ガイドをご参照ください。

• 32 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files\EMET\EMET User's Guide.pdf に保存されています。
• 64 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files (x86)\EMET\EMET User's Guide.pdf に保存されています。

注: グループ ポリシーに関する詳細情報は、「Group Policy collection」をご参照ください。

インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブ スクリプトをブロックすることは、この脆弱性の悪用を防ぐのに役立ちます。これには、ブラウザーのセキュリティ設定を「高」に設定して実行します。

Internet Explorer のブラウザーのセキュリティ レベルを上げるには、以下のステップを実行してください。

1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
2. [インターネット オプション]ダイアログ ボックスで、[セキュリティ] タブをクリックし、次に [インターネット] をクリックします。
3. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
4. [ローカル イントラネット]をクリックします。
5. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
6. [OK]をクリックし、変更を許可し、Internet Explorer に戻ります。

注: スライダーが表示されていない場合、[既定のレベル]ボタンをクリックし、次にスライダーを「高」に移動させます。

注: セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、セキュリティが「高」に設定されていても、そのサイトが適切に実行されます。

回避策の影響: ActiveX コントロールおよびアクティブ スクリプトをブロックすると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトは ActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはオンライン バンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトのブロックはグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。ActiveX コントロールおよびアクティブ スクリプトをこれらの Web サイトでブロックしたくない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックするように設定後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

これを行うためには、次のステップを実行します。

1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。
2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをクリックして、チェックを外します。
4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。
5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。
6. [OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。

注: システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが必要です。

インターネットおよびローカルのイントラネット セキュリティ ゾーンでアクティブ スクリプトが実行される前にダイアログが表示されるように設定を変更、またはアクティブ スクリプトを無効にするよう設定を変更することにより、この脆弱性の悪用を防ぐ手助けを行うことができます。これを行うためには、次のステップを実行します。

1. Internet Explorer の [ツール] メニューで [インターネット オプション] をクリックします。
2. [セキュリティ] タブをクリックします。
3. [インターネット] をクリックし、次に [レベルのカスタマイズ] ボタンをクリックします。
4. [設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。
5. [ローカル イントラネット] をクリックし、[レベルのカスタマイズ] をクリックします。
6. [設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。
7. [OK] を 2 回クリックし、Internet Explorer に戻ります。

注: インターネットおよびイントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にすると、Web サイトが正しく動作しなくなる場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、その Web サイトは正しく動作するようになります。

回避策の影響: アクティブ スクリプトの実行前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはアクティブ スクリプトを使用して、追加の機能を提供しています。たとえば、オンラインの電子商取引またはオンライン バンキング サイトにはアクティブ スクリプトを使用して、メニュー、注文書、計算書などを提供しているものもあります。アクティブ スクリプトの実行前にダイアログを表示する設定はグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。この回避策を行うと、ダイアログが頻繁に表示されます。ダイアログが表示されるたびに、アクセスしている Web サイトが信頼できると考える場合、[はい] をクリックしてアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログ表示が必要ない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示するように設定した後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

これを行うためには、次のステップを実行します。

1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。
2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをクリックして、チェックを外します。
4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。
5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。
6. [OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。

注: システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが必要です。

マイクロソフトは、お客様が引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、マルウェア対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。