マイクロソフト セキュリティ情報 MS07-040 - 緊急

Web ベースの攻撃のシナリオで、この脆弱性が悪用されるには、その悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者は、特別な細工がされた Web サイトにユーザーを強制的に訪問させることはできません。その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。ユーザーがリンクをクリックした後、ユーザーにいくつかの動作を実行するよう誘導するメッセージが表示される可能性があります。ユーザーがこれらの操作を行った場合にのみ、攻撃が実行される可能性があります。

この脆弱性が悪用された場合、攻撃者によりローカル ユーザーと同じ権限が取得される可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

既定で、すべてのサポートされている Microsoft Outlook および Microsoft Outlook Express のリリースは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンは、HTML 形式の電子メール メッセージの読み取りが行われる場合、Active スクリプトおよび ActiveX コントロールが使用されないようにすることにより、この脆弱性を悪用する攻撃数を削減する手助けとなります。しかし、ユーザーが電子メール内のリンクをクリックする場合、Web ベースの攻撃のシナリオによるこの問題の影響を依然として受ける可能性があります。

既定で、Windows Server 2003 上の Internet Explorer は、「セキュリティ強化の構成」 と呼ばれる制限されたモードで実行されます。このモードはインターネット ゾーンのセキュリティ レベルを「高」に設定します。これは、Internet Explorer の信頼済みサイト ゾーンに追加されていない Web サイトに対する「緩和する要素」です。Internet Explorer のセキュリティ強化の構成に関する詳細情報については、この脆弱性に関する「よく寄せられる質問」のサブ セクションをご覧ください。

.NET Framework 1.0 は、次の例外を除いてサポートされている Windows エディション に含まれていません。

.NET Framework 1.1 は、次の例外を除いてサポートされている Windows エディション に含まれていません。

.NET Framework 2.0 は、次の例外を除いてサポートされている Windows エディション に含まれていません。

インターネットおよびローカルイントラネットゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブスクリプトを実行する前にダイアログを表示する

インターネットのセキュリティ ゾーンの設定を変更し、ActiveX コントロールが実行される前にダイアログが表示されるようにすると、この脆弱性に対する保護の手助けとなります。ブラウザのセキュリティ設定を「高」に設定することによってこれを行うことができます。Microsoft Internet Explorer のブラウザのセキュリティ レベルを上げるには、以下のステップに従ってください。

注: スライダが表示されていない場合、[既定のレベル] ボタンをクリックし、次にスライダを「高」に移動させます。

注: セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全であると確信できる場合は、そのサイトを [信頼済みサイト] に追加することができます。これにより、そのサイトは、セキュリティが「高」に設定されていても、適切に実行されるようになります。

回避策の影響 : ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはバンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトを実行する前にダイアログを表示する設定は、すべてのインターネットおよびイントラネット サイトに影響を及ぼすグローバル設定です。この回避策を行うと、ダイアログが頻繁に表示されます。各ダイアログ表示で、訪問している Web サイトを信頼できると考える場合、[はい] をクリックして ActiveX コントロールまたはアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログを表示する必要がない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

Internet Explorer をインターネットおよびイントラネットゾーンでアクティブスクリプトが実行される前にダイアログを表示するように構成する、またはアクティブスクリプトを無効にするよう構成する

アクティブ スクリプトが実行される前にダイアログが表示されるよう、またはインターネットおよびローカルのイントラネット セキュリティ ゾーンでアクティブ スクリプトを無効にするよう設定を変更することにより、この脆弱性に対する保護の手助けを行うことができます。

これを行うためには、次のステップに従ってください。

注: インターネットおよびイントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にすると、Web サイトが正しく動作しなくなる場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全であると確信できる場合は、そのサイトを [信頼済みサイト] に追加することができます。これにより、その Web サイトは正しく動作するようになります。

回避策の影響 : アクティブ スクリプトを実行する前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはアクティブ スクリプトを使用して、追加の機能を提供しています。たとえば、オンラインの電子商取引またはバンキング サイトにはアクティブ スクリプトを使用して、メニュー、注文書、計算書などを提供しているものもあります。アクティブ スクリプトを実行する前にダイアログを表示する設定は、すべてのインターネットおよびイントラネット サイトに影響を及ぼすグローバル設定です。この回避策を行うと、ダイアログが頻繁に表示されます。各ダイアログ表示で、訪問している Web サイトを信頼できると考える場合、[はい] をクリックしてアクティブ スクリプトを実行して下さい。これらのすべての Web サイトでダイアログを表示する必要がない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

信頼する Web サイトを Internet Explorer の信頼済みサイトゾーンに追加する

インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトが実行される前にダイアログが表示されるように設定した後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加することができます。これにより、信頼されていない Web サイトからのこの攻撃から保護する手助けを行いながら、現在使用しているのとまったく同様に、信頼する Web サイトを引き続き使用することができます。マイクロソフトは信頼される Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

これを行うためには、次のステップに従ってください。

注:悪意のある動作がコンピュータ上で行われないと信頼できるサイトをすべて追加します。なお、特に追加すべき 2 つの Web サイトは “*.windowsupdate.microsoft.com” および “*.update.microsoft.com” です。(二重引用符は必要ありません) これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムをインストールするためには ActiveX コントロールを必要とします。

HTML 形式の電子メールを経路とする攻撃からコンピュータを保護するために、電子メールメッセージをテキスト形式で読んでください。

この脆弱性に対してコンピュータを保護するには、Outlook 2002 およびそれ以降のバージョン、Outlook Express 6 およびそれ以降のバージョンまたは Windows Mail を使用して、電子メール メッセージをテキスト形式で読み取るように電子メールの設定を変更してください。Outlook についての情報は、[ヘルプ] で「テキスト形式」で検索し、「テキスト形式でメッセージを読む」をご覧ください。Outlook Express では、[ヘルプ] で「テキスト形式」で検索し、「電子メールのウイルスを受け取る危険性を削減する」をご覧ください。Windows メールで、[ヘルプ] で「テキスト形式」で検索し、「Windows メールのセキュリティとプライバシ」をご覧ください。

回避策の影響: テキスト形式で表示される電子メール メッセージは、写真、特別なフォント、アニメーションまたはそのほかのリッチ コンテンツを含むことはできません。さらに、次の影響があります。

Internet Explorer 7 で .Net コントロールを無効にする

インターネットおよびイントラネット セキュリティ ゾーンで .NET コントロールを無効にするよう設定を変更することにより、この脆弱性に対する保護を行うことができます。

これを行うためには、次のステップに従ってください。

回避策の影響:.NET コントロールは構成されたゾーンでは読み込みをしません。

ASP.NET の Web の開発者は、Internet でアクセス可能なクエリ文字列、cookie、または許可された値に対するフォームの変数などの値を比較し、この範囲外の値をすべて拒否します。

Web ベースの攻撃のシナリオで、この脆弱性が悪用されるには、その悪用を意図した Web ページを含む Web サイトをホストすることが攻撃者にとっての必要条件となります。攻撃者は、特別な細工がされた Web サイトにユーザーを強制的に訪問させることはできません。その代わり、通常、ユーザーに攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。ユーザーがリンクをクリックした後、ユーザーにいくつかの動作を実行するよう誘導するメッセージが表示される可能性があります。ユーザーがこれらの操作を行った場合にのみ、攻撃が実行される可能性があります。

この脆弱性が悪用された場合、攻撃者によりローカル ユーザーと同じ権限が取得される可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

既定で、すべてのサポートされている Microsoft Outlook および Microsoft Outlook Express のリリースは、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンは、HTML 形式の電子メール メッセージの読み取りが行われる場合、Active スクリプトおよび ActiveX コントロールが使用されないようにすることにより、この脆弱性を悪用する攻撃数を削減する手助けとなります。しかし、ユーザーが電子メール内のリンクをクリックする場合、Web ベースの攻撃のシナリオによるこの問題の影響を依然として受ける可能性があります。

既定で、Windows Server 2003 上の Internet Explorer は、「セキュリティ強化の構成」 と呼ばれる制限されたモードで実行されます。このモードはインターネット ゾーンのセキュリティ レベルを「高」に設定します。これは、Internet Explorer の信頼済みサイト ゾーンに追加されていない Web サイトに対する「緩和する要素」です。Internet Explorer のセキュリティ強化の構成に関する詳細情報については、この脆弱性に関する「よく寄せられる質問」のサブ セクションをご覧ください。

.NET Framework 1.0 は、次の例外を除いてサポートされている Windows エディション に含まれていません。

.NET Framework 1.1 は、次の例外を除いてサポートされている Windows エディション に含まれていません。

.NET Framework 2.0 は、次の例外を除いてサポートされている Windows エディション に含まれていません。

インターネットおよびローカルイントラネットゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブスクリプトを実行する前にダイアログを表示する

インターネットのセキュリティ ゾーンの設定を変更し、ActiveX コントロールが実行される前にダイアログが表示されるようにすると、この脆弱性に対する保護の手助けとなります。ブラウザのセキュリティ設定を「高」に設定することによってこれを行うことができます。Microsoft Internet Explorer のブラウザのセキュリティ レベルを上げるには、以下のステップに従ってください。

注: スライダが表示されていない場合、[既定のレベル] ボタンをクリックし、次にスライダを「高」に移動させます。

注: セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全であると確信できる場合は、そのサイトを [信頼済みサイト] に追加することができます。これにより、そのサイトは、セキュリティが「高」に設定されていても、適切に実行されるようになります。

回避策の影響 : ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはバンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトを実行する前にダイアログを表示する設定は、すべてのインターネットおよびイントラネット サイトに影響を及ぼすグローバル設定です。この回避策を行うと、ダイアログが頻繁に表示されます。各ダイアログ表示で、訪問している Web サイトを信頼できると考える場合、[はい] をクリックして ActiveX コントロールまたはアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログを表示する必要がない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

Internet Explorer をインターネットおよびイントラネットゾーンでアクティブスクリプトが実行される前にダイアログを表示するように構成する、またはアクティブスクリプトを無効にするよう構成する

アクティブ スクリプトが実行される前にダイアログが表示されるよう、またはインターネットおよびローカルのイントラネット セキュリティ ゾーンでアクティブ スクリプトを無効にするよう設定を変更することにより、この脆弱性に対する保護の手助けを行うことができます。

これを行うためには、次のステップに従ってください。

注: インターネットおよびイントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にすると、Web サイトが正しく動作しなくなる場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全であると確信できる場合は、そのサイトを [信頼済みサイト] に追加することができます。これにより、その Web サイトは正しく動作するようになります。

回避策の影響 : アクティブ スクリプトを実行する前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはアクティブ スクリプトを使用して、追加の機能を提供しています。たとえば、オンラインの電子商取引またはバンキング サイトにはアクティブ スクリプトを使用して、メニュー、注文書、計算書などを提供しているものもあります。アクティブ スクリプトを実行する前にダイアログを表示する設定は、すべてのインターネットおよびイントラネット サイトに影響を及ぼすグローバル設定です。この回避策を行うと、ダイアログが頻繁に表示されます。各ダイアログ表示で、訪問している Web サイトを信頼できると考える場合、[はい] をクリックしてアクティブ スクリプトを実行して下さい。これらのすべての Web サイトでダイアログを表示する必要がない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

信頼する Web サイトを Internet Explorer の信頼済みサイトゾーンに追加する

インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトが実行される前にダイアログが表示されるように設定した後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加することができます。これにより、信頼されていない Web サイトからのこの攻撃から保護する手助けを行いながら、現在使用しているのとまったく同様に、信頼する Web サイトを引き続き使用することができます。マイクロソフトは信頼される Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

これを行うためには、次のステップに従ってください。

注:悪意のある動作がコンピュータ上で行われないと信頼できるサイトをすべて追加します。なお、特に追加すべき 2 つの Web サイトは “*.windowsupdate.microsoft.com” および “*.update.microsoft.com” です。(二重引用符は必要ありません) これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムをインストールするためには ActiveX コントロールを必要とします。

HTML 形式の電子メールを経路とする攻撃からコンピュータを保護するために、電子メールメッセージをテキスト形式で読んでください。

この脆弱性に対してコンピュータを保護するには、Outlook 2002 およびそれ以降のバージョン、Outlook Express 6 およびそれ以降のバージョンまたは Windows Mail を使用して、電子メール メッセージをテキスト形式で読み取るように電子メールの設定を変更してください。Outlook についての情報は、[ヘルプ] で「テキスト形式」で検索し、「テキスト形式でメッセージを読む」をご覧ください。Outlook Express では、[ヘルプ] で「テキスト形式」で検索し、「電子メールのウイルスを受け取る危険性を削減する」をご覧ください。Windows メールで、[ヘルプ] で「テキスト形式」で検索し、「Windows メールのセキュリティとプライバシ」をご覧ください。

回避策の影響: テキスト形式で表示される電子メール メッセージは、写真、特別なフォント、アニメーションまたはそのほかのリッチ コンテンツを含むことはできません。