回避策の適用

回避策は、根本的な問題を正すものではありませんが、セキュリティ更新プログラムを適用するまでの間、既知の攻撃方法の阻止に役立つ設定または構成の変更を示します。詳細は次の「回避策」を参照してください。

回避策

• Enhanced Mitigation Experience Toolkit 4.1 を使用する

  Enhanced Mitigation Experience Toolkit (EMET) は、脆弱性の悪用を困難にする保護レイヤーを追加することによって、この脆弱性の悪用を防止するために役立ちます。マイクロソフトは、EMET 4.1 を正式にサポートしています。現時点で、EMET は英語版のみで提供されています。詳細については、サポート技術情報 2458544 を参照してください。

  注: EMET 3.0 はこの問題を緩和しません。

  EMET を構成する、詳細情報は、EMET ユーザー ガイドをご参照ください。

  • 32 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files\EMET\EMET User's Guide.pdf に保存されています。
  • 64 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files (x86)\EMET\EMET User's Guide.pdf に保存されています。

   

  Internet Explorer に対し EMET 4.1 を構成する

  EMET 4.1 は、推奨構成の場合、Internet Explorer を保護できるように自動的に構成されます。追加の手順は不要です。

  グループ ポリシーを利用して、Internet Explorer 用の EMET を構成する

  EMET はグループ ポリシーを利用して構成することが可能です。グループ ポリシーを利用して EMET を構成する詳細情報は、EMET ユーザー ガイドをご参照ください。

  • 32 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files\EMET\EMET User's Guide.pdf に保存されています。
  • 64 ビット版のシステムでは、EMET ユーザー ガイドは C:\Program Files (x86)\EMET\EMET User's Guide.pdf に保存されています。

  注: グループ ポリシーに関する詳細情報は、「Group Policy collection」をご参照ください。

• インターネットおよびローカル イントラネット セキュリティ ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックする

  インターネット セキュリティ ゾーンの設定を変更し、ActiveX コントロールおよびアクティブ スクリプトをブロックすることは、この脆弱性の悪用を防ぐのに役立ちます。これには、ブラウザーのセキュリティ設定を「高」に設定して実行します。

  Internet Explorer のブラウザーのセキュリティ レベルを上げるには、以下のステップを実行してください。

  1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
  2. [インターネット オプション] ダイアログ ボックスで、[セキュリティ] タブをクリックし、次に [インターネット] をクリックします。
  3. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
  4. [ローカル イントラネット] をクリックします。
  5. [このゾーンのセキュリティのレベル] の下のスライダーのつまみを「高」まで移動させます。これにより、訪問するすべての Web サイトのセキュリティ レベルが「高」に設定されます。
  6. [OK] をクリックし、変更を許可し、Internet Explorer に戻ります。

   

  注: スライダーが表示されていない場合、[既定のレベル] ボタンをクリックし、次にスライダーを「高」に移動させます。

  注: セキュリティ レベルを「高」に設定すると、Web ページが正しく動作しない場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、セキュリティが「高」に設定されていても、そのサイトが適切に実行されます。

  回避策の影響: ActiveX コントロールおよびアクティブ スクリプトをブロックすると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトは ActiveX またはアクティブ スクリプトを使用して、追加の機能を提供します。たとえば、オンラインの電子商取引またはオンライン バンキング サイトには ActiveX コントロールを使用して、メニュー、注文書、計算書などを提供しているものもあります。ActiveX コントロールまたはアクティブ スクリプトのブロックはグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。ActiveX コントロールおよびアクティブ スクリプトをこれらの Web サイトでブロックしたくない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

  信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

  インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトをブロックするように設定後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

  これを行うためには、次のステップを実行します。

  1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。
  2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
  3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをクリックして、チェックを外します。
  4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。
  5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。
  6. [OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。

   

  注: システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが必要です。

• インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または、アクティブ スクリプトを無効にするよう構成する

  インターネットおよびローカルのイントラネット セキュリティ ゾーンでアクティブ スクリプトが実行される前にダイアログが表示されるように設定を変更、またはアクティブ スクリプトを無効にするよう設定を変更することにより、この脆弱性の悪用を防ぐ手助けを行うことができます。これを行うためには、次のステップを実行します。

  1. Internet Explorer の [ツール] メニューで [インターネット オプション] をクリックします。
  2. [セキュリティ] タブをクリックします。
  3. [インターネット] をクリックし、次に [レベルのカスタマイズ] ボタンをクリックします。
  4. [設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。
  5. [ローカル イントラネット] をクリックし、[レベルのカスタマイズ] をクリックします。
  6. [設定] の [スクリプト] セクションの [アクティブ スクリプト] で [ダイアログを表示する] または [無効にする] をクリックします。次に [OK] をクリックします。
  7. [OK] を 2 回クリックし、Internet Explorer に戻ります。

   

  注: インターネットおよびイントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にすると、Web サイトが正しく動作しなくなる場合があります。この設定の変更後、Web サイトの使用が困難になり、そのサイトが安全だと確信できる場合は、そのサイトを [信頼済みサイト] に追加できます。これにより、その Web サイトは正しく動作するようになります。

  回避策の影響: アクティブ スクリプトの実行前にダイアログを表示すると、別の影響があります。インターネットまたはイントラネット上の多くの Web サイトはアクティブ スクリプトを使用して、追加の機能を提供しています。たとえば、オンラインの電子商取引またはオンライン バンキング サイトにはアクティブ スクリプトを使用して、メニュー、注文書、計算書などを提供しているものもあります。アクティブ スクリプトの実行前にダイアログを表示する設定はグローバル設定であり、すべてのインターネットおよびイントラネット サイトに影響を及ぼします。この回避策を行うと、ダイアログが頻繁に表示されます。ダイアログが表示されるたびに、アクセスしている Web サイトが信頼できると考える場合、[はい] をクリックしてアクティブ スクリプトを実行してください。これらのすべての Web サイトでダイアログ表示が必要ない場合、「信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する」で説明されているステップを行ってください。

  信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加する

  インターネット ゾーンおよびローカル イントラネット ゾーンで ActiveX コントロールおよびアクティブ スクリプトの実行前にダイアログを表示するように設定した後、信頼する Web サイトを Internet Explorer の信頼済みサイト ゾーンに追加できます。これにより、信頼されていない Web サイトからの攻撃を防ぎながら、現在とまったく同じ様に、信頼する Web サイトを引き続き使用できます。マイクロソフトは信頼できる Web サイトのみを [信頼済み] サイト ゾーンに追加することを推奨します。

  これを行うためには、次のステップを実行します。

  1. Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [セキュリティ] タブをクリックします。
  2. [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] で、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
  3. 暗号化されたチャネルを必要としない Web サイトを追加する場合は、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをクリックして、チェックを外します。
  4. [次の Web サイトをゾーンに追加する] で、信頼する Web サイトの URL を入力し、次に [追加] ボタンをクリックします。
  5. ゾーンに追加したい各 Web サイトについて、これらのステップを繰り返します。
  6. [OK] を 2 回クリックし、変更を許可し、Internet Explorer に戻ります。

   

  注: システムで悪質な動作が行われないと信頼できるすべてのサイトを追加します。特に追加すべき 2 つの Web サイトは *.windowsupdate.microsoft.com および *.update.microsoft.com です。これらはセキュリティ更新プログラムをホストする Web サイトで、セキュリティ更新プログラムのインストールには ActiveX コントロールが必要です。

• VGX.DLL の登録を解除する
  1. [スタート] メニューをクリックし、[ファイル名を指定して実行] をクリックして、"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" と入力し、次に [OK] をクリックします。
  2. ダイアログ ボックスに、登録を解除するプロセスが正常に完了したことを確認するメッセージが表示されます。[OK] をクリックして、ダイアログ ボックスを閉じます。

   

  回避策の影響:Vgx.dll の登録が解除されると、VML をレンダリングするアプリケーションはそのレンダリングを行わなくなります。

  この問題に対処するセキュリティ更新プログラムが利用可能になったら、そのセキュリティ更新プログラムをインストールした後に vgx.dll を再登録する必要があります。vgx.dll を再登録するには、次のステップを実行します。

  1. [スタート] メニューをクリックし、[ファイル名を指定して実行] をクリックして、"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" と入力し、次に [OK] をクリックします。
  2. ダイアログ ボックスに、登録するプロセスが正常に完了したことを確認するメッセージが表示されます。[OK] をクリックして、ダイアログ ボックスを閉じます。

   

• VGX.DLL に対するアクセス制御リスト (ACL) の制限を強化する

  vgx.dll に対するアクセス制御リスト (ACL) の制限を強化するには、次のステップを実行します。

  1. [スタート] メニューをクリックし、[ファイル名を指定して実行] をクリックして、"cmd" と入力し (二重引用符は必要ありません)、次に [OK] をクリックします。
  2. コマンド プロンプトで次のコマンドを入力し、この変更を元に戻すときのため、ファイル (継承された設定を含む) 上の現在の ACL のメモを取ります。
     
     cacls "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
  3. このファイルに対する 'everyone' グループのアクセスを拒否するために、コマンド プロンプトで次のコマンドを入力します。
     
     echo y| cacls "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" /d everyone
  4. Internet Explorer を終了し、変更が有効になるように再度 Internet Explorer を起動します。

  回避策の影響:VML をレンダリングするアプリケーションおよび Web サイトは正しく表示または機能しなくなります。

  回避策の解除方法 この問題を修正するセキュリティ更新プログラムをインストールできるようにするには、vgx.dll に関する ACL の構成を以前の状態に戻し、この回避策を適用する前の状態にする必要があります。vgx.dll に関する ACL の構成を以前の状態に戻すには、次のステップを実行します。

  1. [スタート] メニューをクリックし、[ファイル名を指定して実行] をクリックして、"cmd" と入力し (二重引用符は必要ありません)、次に [OK] をクリックします。
  2. vgx.dll の ACL の構成を以前の状態に戻すためには、次のコマンドを入力し、vgx.dll の ACL をこの回避策のステップ 2 で記録された以前の ACL に置き換えます。
     
     echo y| cacls "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" /g original ACL’s
  3. Internet Explorer を終了し、変更が有効になるように再度 Internet Explorer を起動します。

   

  注: この回避策が適用されている場合、vgx.dll を再配布するソフトウェアがインストールに失敗する可能性があります。このソフトウェアがインストールされる前に、この回避策が以前の vgx.dll の ACL の構成に戻される必要があります。

• [拡張保護モードを有効にする] (Internet Explorer 11 の場合) と [拡張保護モードで 64 ビット プロセッサを有効にする]

  Internet Explorer 11 をお使いのユーザーは、Internet Explorer のセキュリティの詳細設定を変更することにより、この脆弱性が悪用されないように保護できます。これを行うには、ブラウザーで拡張保護モード (EPM) の設定を有効にします。このセキュリティ設定は、Windows 7 for x64-based systems およびすべての Windows 8/Windows 8.1 クライアント上で Internet Explorer 11 のユーザーを保護します。

  Internet Explorer で EPM を有効にするには、次のステップを実行します。

  1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
  2. [インターネット オプション] ダイアログ ボックスで、[詳細設定] タブをクリックし、設定の一覧の [セキュリティ] セクションまで下へスクロールします。
  3. [拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (64 ビット システムの場合) の横のチェック ボックスがオンになっていることを確認します。
  4. [OK] をクリックし、変更を許可し、Internet Explorer に戻ります。
  5. システムを再起動します。

追加の推奨されるアクション

• コンピューターを守る

  マイクロソフトは、お客様が引き続き、「コンピューターを守る」のガイダンスに従い、ファイアウォールを有効にし、すべてのソフトウェアの更新を適用し、マルウェア対策ソフトウェアをインストールすることを推奨しています。詳細については、Microsoft セーフティとセキュリティ センターを参照してください。

• マイクロソフトのソフトウェアを最新の状態に保つ

  マイクロソフトのソフトウェアをお使いのお客様は、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、お使いのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールしてください。自動更新が有効で、マイクロソフト製品用の更新プログラムが提供されるよう設定されている場合は、新しい更新プログラムがご利用可能になった時点で自動的に提供されます。しかし、更新プログラムが正しくインストールされているかどうかをご確認いただく必要があります。