連載
» 2015年03月16日 19時00分 UPDATE

Tech TIPS:セキュリティのために、Internet ExplorerでFlash Playerを一時的に無効化する

しばしば更新版のリリース前に攻撃可能な脆弱(ぜいじゃく)性が公表されてしまうFlash Player。安全が確認できるまで無効化するには? Internet Explorer(IE)向けの手順を解説する。

[島田広道,デジタルアドバンテージ]
Tech TIPS
Windows Server Insider


「Tech TIPS」のインデックス

連載目次

対象ソフトウェア:Flash Player、Internet Explorer(いずれもWindows OS用)



解説

 2015年1月中旬からの約1カ月間で、Windows用のFlash Playerに対して、4回もセキュリティパッチがリリースされた。これは立て続けにFlash Playerの脆弱(ぜいじゃく)性が発覚したためだ。

立て続けに脆弱(ぜいじゃく)性が発覚したFlash Player 立て続けに脆弱(ぜいじゃく)性が発覚したFlash Player
これはWindows 8.1搭載PCのWindows Updateの履歴。このとき、わずか1カ月の間にFlash Player向けセキュリティパッチが四つもリリースされた。

 その中には、攻撃可能なプログラムコードの方が先に流布してしまう「ゼロデイ」の脆弱性もあった。こうした状況だと、パッチや更新版のインストールが間に合わない事態もあり得る。そんなときは、Flash Playerをアンインストールするよりも、一時的に無効化する方が手軽で簡単だ。

 また、アップルがiPhone/iPad/iPod touch(iOS端末)でFlash Playerをサポートしていないことから、Flash Playerが必須のWebページは以前より減っているようだ。であれば、セキュリティに厳しい環境では、普段Flash Playerを無効化しておいて必要な時だけ有効化する、といった運用もあり得るだろう。

 Flash Playerを無効化する手順はWebブラウザーごとに異なる。そこで本稿では、WindowsのInternet Explorer(IE)を対象にFlash Playerの無効化手順を説明する。Google ChromeやMozilla Firefoxでの無効化手順は、右上の関連記事を参照していただきたい。

操作方法

 本稿では、Internet Explorer(IE)でFlash Playerを無効化する方法として、次の2つの方法を説明する。

 1台かせいぜい数台のPCが対象なら前者の方法、Active Directory管理下の複数のPCが対象なら後者の方法がそれぞれ適している。

 以下ではIE11のスクリーンショットを掲載している。ただし特記した手順を除けば、IE7〜IE10でも操作方法は変わらない。

●IEの「アドオンの管理」ダイアログでFlash Playerを無効化する

 IE向けFlash PlayerはIEのアドオン(ActiveXコントロール)として実装されている。そのため、IEのアドオン管理用画面からFlash Plyerのアドオンを無効化できる。

IEの[アドオンの管理]からFlash Playerを無効化する(その1) IEの[アドオンの管理]からFlash Playerを無効化する(その1)
これはIEを起動したところ。
  (1)IE9〜IE11の場合は歯車アイコンをクリックしてメニューを表示させる。IE7/IE8の場合はコマンドバーの[ツール]をクリックする。
  (2)[アドオンの管理]をクリックする。
次へ
IEの[アドオンの管理]からFlash Playerを無効化する(その2) IEの[アドオンの管理]からFlash Playerを無効化する(その2)
これが「アドオンの管理」ダイアログ。
  (3)[ツールバーと拡張機能]を選ぶ。
  (4)[すべてのアドオン]を選ぶ。
  (5)Shockwave Flash Object]を選ぶ。これがIE向けFlash Playerの実体を表している。存在しない場合、IEにはFlash Playerがインストールされていないことになる。
  (6)[無効にする]ボタンをタップすると、Flash Playerが無効化される。

 上記の手順を完了したら、本当にFlash Playerが無効化されたか確認してみよう。それには、アドビシステムズ提供のFlash Playerバージョン確認用ページを開き、以下の(2)の部分にバージョン番号が表示されないことを確認すればよい。

IEでFlash Playerが無効化されたか確認する IEでFlash Playerが無効化されたか確認する
必ずIEで開くこと。他のWebブラウザーでは意味がない。
  (1)http://www.adobe.com/jp/software/flash/about/」と指定してページを開く。これはアドビシステムズが提供しているFlash Playerのバージョン確認用ページ。
  (2)本来ここにはインストール済みのFlash Playerのバージョン番号が、「You have version <バージョン番号> installed」のように表示される。だが、Flash Playerが無効化されていると、このようにバージョン番号は表示されない。

 上記の無効化手順は、ログオン中のユーザーだけに反映される。つまり、別のユーザーアカウントでも無効化するには、そのアカウントでログオンして同じ設定を行う必要がある。またIEのコンポーネントを利用しているアプリケーションでは無効化できない。

●グループポリシーで複数のPCのFlash Playerを一律に無効化する

 グループポリシーでIE向けFlash Playerを無効化するには、まずFlash Playerに割り当てられている「クラス識別子(CLSID)」を確認する必要がある。これは前述したIEの「アドオンの管理」ダイアログで調べることが可能だ。

グループポリシー設定用に、Flash Playerのクラス識別子(CLSID)を確認する(その1) グループポリシー設定用に、Flash Playerのクラス識別子(CLSID)を確認する(その1)
これは前述の手順で開いたIEの「アドオンの管理」ダイアログ。
  (1)「Shockwave Flash Object」を選ぶ。
  (2)[詳細情報]をクリックする。
次へ
グループポリシー設定用に、Flash Playerのクラス識別子(CLSID)を確認する(その2) グループポリシー設定用に、Flash Playerのクラス識別子(CLSID)を確認する(その2)
これはFlash Playerの詳細情報ダイアログ。
  (3)これが該当のFlash Playerのクラス識別子。後で説明するグループポリシーの設定時に、この「{……}」というGUID形式の文字列を指定する必要がある。
  (4)(3)をクリップボードにコピーするために、[コピー]ボタンをクリックする。

 [コピー]ボタンを押してクリップボードにコピーされた情報は、メモ帳などのテキストエディターにペーストする。そこから「Class ID:」の右側にあるGUID形式の文字列を控えておく。

メモ帳にペーストした、クラス識別子を含むFlash Playerの各種情報 メモ帳にペーストした、クラス識別子を含むFlash Playerの各種情報
これはクリップボードからメモ帳へペーストした内容。
  (1)この「{」から「}」までの文字列を、後でグループポリシーに設定するので、コピーするかメモしておく。

 次にグループポリシーエディターで対象のグループポリシーオブジェクトを開き、Flash Playerのアドオンを無効化するための設定を反映する。このとき、PC単位で無効化したければ[コンピューターの構成]を、ユーザーアカウント単位で無効化したければ[ユーザーの構成]を最初に選択する必要がある。

グループポリシーでIE向けFlash Playerを無効化する(その1) グループポリシーでIE向けFlash Playerを無効化する(その1)
これは「グループポリシーの管理」ツールからグループポリシーオブジェクトを選んで、グループポリシーエディターで開いたところ。
  (1)ここではPCごとに設定を反映するために[コンピューターの構成]を選択した。ユーザーアカウント単位で設定したければ[ユーザーの構成]を選択すること。
  (2)[ポリシー]−[管理用テンプレート]−[Windowsコンポーネント]−[Internet Explorer]−[セキュリティの機能]−[アドオン管理]を選ぶ。
  (3)[アドオンの一覧]をダブルクリックする。
次へ
グループポリシーでIE向けFlash Playerを無効化する(その2) グループポリシーでIE向けFlash Playerを無効化する(その2)
  (4)[有効]を選ぶ。デフォルトでは[未構成]のはずだ。
  (5)[表示]ボタンをクリックすると、(6)(8)のダイアログが現れる。
  (6)ここをクリックして、先ほどコピー/メモしておいたFlash Playerのクラス識別子を記入する。
  (7)ここをクリックして、「0(ゼロ)」を記入する。
  (8)[OK]ボタン−[OK]ボタンとクリックし、グループポリシーオブジェクトの編集を終了する。

 上記手順を完了したら、対象のクライアントPCで強制的にグループポリシーを適用してみよう。それには管理者権限で起動したコマンドプロンプトで「gpupdate /force」と実行すればよい。その後、同じPCでIEを起動し、以下のように「アドオンの管理」ダイアログでFlash Playerが無効化されていることを確認する。

グループポリシーで無効化されたIE向けFlash Player グループポリシーで無効化されたIE向けFlash Player
これは前述の手順で開いたIEの「アドオンの管理」ダイアログ。
  (1)「Shockwave Flash Object」の状態が「無効」になっている。
  (2)[有効にする][無効にする]どちらのボタンもグレーアウトしていてクリックできない。

 上記の無効化手順では、IEのコンポーネントを利用しているアプリケーションでFlash Playerを無効化できない。

●Flash Playerを再有効化する際には最新版に更新する

 IEの「アドオンの管理」ダイアログでFlash Playerを有効化するには、[Shockwave Flash Object]を選んで[有効にする]ボタンをクリックする。グループポリシーで無効化した場合は、Flash Playerのクラス識別子のエントリを削除する。

 注意すべきは、有効化する前にFlash Playerを最新版に更新して、既知の脆弱性を解消しておくことだ。ただ、Windows UpdateやFlash Playerの自動更新機能をデフォルトのままオンにしていれば、たとえFlash PlayerそのものをIE上で無効化していても、最新版に更新されているはずだ。

 逆に自動更新を無効化している場合は要注意である。有効化してすぐあちこちのWebページをブラウズすると、既知の脆弱性を狙った攻撃を受けてしまう恐れがあるからだ。

 手動でIE向けFlash Playerを最新版に更新する方法は、Windows OSによって異なるので注意が必要だ。

  • Windows 7/Server 2008 R2以前: アドビシステムズのFlash Playerダウンロードページからインストーラーをダウンロードして実行する。
  • Windows 8/Server 2012以降: Windows UpdateでリストアップされたFlash Player用更新プログラムを適用する(これらのOSの場合、Flash Playerのパッチはマイクロソフトから提供されているため)

■更新履歴

【2015/03/16】IE向けFlash Playerを最新版に更新する方法を、Windows OSごとに分類して記述しました。

【2015/02/09】初版公開。


「Tech TIPS」のインデックス

Tech TIPS

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。