2014年11月修正されたWindowsの脆弱性 ― XPでできる対策

最終更新日

XPなどの修正パッチをインストールできない環境のWindows PC向けの記事です。
最も効果的な対策は、あくまでVista以降を使用し、セキュリティ更新プログラムをインストールすることです。

2014年11月のセキュリティ更新プログラムを適用しない場合の対策

いろいろあって12月になってしまいましたが、自分のメモとしても書いておきます。

2014年11月のマイクロソフトセキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms14-nov.aspx

緩和・回避策がないものが多くありました。緩和策がある場合はだいたい以下のものでした。大半は基本的なことです。

  • 不明な、信頼できないところのファイルは開かない。
  • 不用意に電子メールやインスタントメッセンジャーのメッセージのリンクをクリックしない。添付ファイルを開かない。
  • 保護ビュー機能のあるOffice製品は保護ビューを有効(デフォルト)にしておく。
  • HTML形式の電子メール メッセージを制限付きサイト ゾーンで開く。ただし、メール内の悪意のあるサイトへのリンクをクリックしてしまうとダメ。もっといえば、HTML形式のメールを開かないこと。
  • リモート機能を無効にする。
  • 普段は管理者権限がない、ユーザー権限が低い設定のアカウントを使用する。
  • 別の脆弱性と組み合わせることで実行されるものがあるため、他の脆弱性への対策をしておく。

上記以外で、回避策としてXPで使えそうなものを書き出してみました。

  1. MSXML リモートでコードが実行される脆弱性 CVE-2014-4118

    マイクロソフトセキュリティ情報 MS14-067 (2993958)
    https://technet.microsoft.com/library/security/ms14-067

  2. Microsoft IME(日本語版) 特権の昇格の脆弱性 CVE-2014-4077

    マイクロソフトセキュリティ情報 MS14-078 (2992719)
    https://technet.microsoft.com/library/security/MS14-078

  3. Windows カーネルモードドライバーのサービス拒否の脆弱性 CVE-2014-6317

    マイクロソフトセキュリティ情報 MS14-079 (3002885)
    https://technet.microsoft.com/ja-JP/library/security/ms14-079

  4. Windows OLE リモート コード実行の脆弱性 CVE-2014-6352

    マイクロソフト セキュリティ情報 MS14-064 (3006226と3010788)
    https://technet.microsoft.com/library/security/ms14-064
    の内の3010788

MSXML リモートでコードが実行される脆弱性 CVE-2014-4118

回避策

  • 次のテキストをメモ帳に貼り付ける。

    • (32bit Windowsの場合)

      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
      "Compatibility Flags"=dword:04000400

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
      "Compatibility Flags"=dword:04000400

    • (64bit Windowsの場合)

      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
      "Compatibility Flags"=dword:04000400

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
      "Compatibility Flags"=dword:04000400

      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
      "Compatibility Flags"=dword:04000400

      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
      "Compatibility Flags"=dword:04000400

  • メニューのファイル→名前をつけて保存。拡張子は.regにする。
    例) test1.reg
  • 保存したregファイルをダブルクリックして実行する。
  • Internet Explorerを再起動する。
  • 以上の作業は、レジストリにKillbitの設定を追加するものです。

    Microsoftの説明ページはこちら
    https://support.microsoft.com/en-us/help/240797/how-to-stop-an-activex-control-from-running-in-internet-explorer

    Killbitについては下のサイトの解説がわかりやすいです。
    http://www.hotfix.jp/archives/word/2005/word05-24.html

    ※ 0x00000400と0x04000400の違いについて。
    (先頭の0xは16進数であること表します)
    どちらでも有効らしい。指示された方で設定すればいいと思います。

    回避策の解除

    1. 次のテキストをメモ帳に貼り付ける。

      • (32bit Windowsの場合)

        Windows Registry Editor Version 5.00
        [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]

        [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]

      • (64bit Windowsの場合)

        Windows Registry Editor Version 5.00
        [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]

        [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]

        [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]

        [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]

    2. メニューのファイル→名前をつけて保存。拡張子は.regにする。
      例) test2.reg
    3. 保存したregファイルをダブルクリックして実行する。
    4. Internet Explorerを再起動する。

    Microsoft IME(日本語版) 特権の昇格の脆弱性 CVE-2014-4077

    緩和策

    Microsoft IME(日本語版)を使わず、他のIMEを利用する。

    とりあえずおすすめなのが次の2つ。

    • Google 日本語入力(無料)
      https://www.google.co.jp/ime/
    • ATOK(有料)
      http://www.atok.com/

      ATOK選び方ガイド
      http://www.atok.com/products/guide.html

      30日間お試し
      http://www.atok.com/try/index.html

    回避策

    (Microsoft IME(日本語版)を使い続ける場合に)

    EMET 5.0以上を使用し、次の設定をする。

    [注意]

    EMET5.0以上はXPをサポートしていません。動作保証外です。

    MET4.1以前には、ASRがありません。

    1. EMETのGUI画面を表示。(EMET_GUI.exeを起動)
    2. 上のAppsアイコンをクリックするか、Ctrl+Shift+Aを押して、Application Configurationを表示。
    3. 上のAdd Wildcardをクリック。
    4. *\IMJPDCT.EXE と入力→OK
    5. App Nameの欄のIMJPDCT.EXEを選択して右クリック→Disable All Matigationsを選択→右側のすべてのチェックが外れる。

      一番右のASRだけチェックを入れる。

    6. IMJPDCT.EXEをダブルクリックするか、IMJPDCT.EXEをクリック→Show All Settingsをクリック。

      画面右側の部分で一番下までスクロール。

      Attack Surface ReductionのModules欄に IMJP*.DIC と入力し、右下のOKをクリック。

    回避策の解除

    IMJPDCT.EXEを選択した状態で、Remove Selected(画面上の赤い×印)をクリックする。

    Windows カーネルモードドライバーのサービス拒否の脆弱性 CVE-2014-6317

    回避策

    T2EMBED.DLLファイルへのアクセスを許可しない設定にする。

    [注意]

    埋め込みのフォントに技術的に依存しているアプリケーションは、正しく表示されなくなる場合があります。

    XPでファイルのプロパティにセキュリティタブを表示するには。

    XP Home Edition:セーフモードで起動し、ユーザーアカウント選択画面でAdministratorを選んでログオンする。

    XP Professional:フォルダーオプション→表示タブ→簡易ファイルの共有を使用する(推奨) チェックを外す。

    1. C:\Windows\System32\t2embed.dllを右クリック→プロパティ→セキュリティタブ
    2. 「グループ名またはユーザー名」のところで追加ボタンをクリック
    3. everyoneと入力→名前の確認ボタンをクリック→OK
    4. Everyoneを選択した状態で、フルコントロールの拒否にチェックを入れる。
    5. 64bit版の場合は、C\Windows\Syswow64\t2embed.dllも同様に行う。

    回避策の解除

    C:\Windows\System32\t2embed.dll と C\Windows\Syswow64\t2embed.dll(64bit版のみ)のプロパティ→セキュリティタブ→Everyoneを削除する。

    以前、TakeownとIcaclsコマンドを利用した方法を載せましたが、XPでは両コマンドが使用できませんでした。申し訳ありません。XP Homeで確認の上、書き直しました。(2015/05/28)

    Windows OLE リモート コード実行の脆弱性 CVE-2014-6352

    [回避策]

    EMET 5.0以上を使用し、次の設定をする。

    [注意]

    EMET5.0以上はXPをサポートしていません。動作保証外です。

    EMET4.1以前には、ASRがありません。

    1. EMETのGUI画面を表示。(EMET_GUI.exeを起動)
    2. 上のAppsアイコンをクリックするか、Ctrl+Shift+Aを押して、Application Configurationを表示。
    3. 上のAdd Wildcardをクリック。
    4. *\dllhost.exe と入力→OK
    5. App Nameの欄のdllhost.exeを選択して右クリック→Disable All Matigationsを選択→右側のすべてのチェックが外れる。

      一番右のASRだけチェックを入れる。

    6. dllhost.exeをダブルクリックするか、dllhost.exeをシングルクリック→Show All Settingsをクリック。

      画面右側の部分で一番下までスクロール。

      Attack Surface ReductionのModules欄に packager.dll と入力し、右下のOKをクリック。

    7. 続いて、上のAppsアイコンをクリックするか、Ctrl+Shift+Aを押して、Application Configurationを表示。
    8. 上のAdd Wildcardをクリック。
    9. *\OFFICE1*\POWERPNT.EXE と入力→OK
    10. App Nameの欄のPOWERPNT.EXEを選択して、EAF+のところだけチェックを外す。他はすべてチェックを入れておく。
    11. POWERPNT.EXEをダブルクリックするか、POWERPNT.EXEをシングルクリック→Show All Settingsをクリック。

      画面右側の部分で一番下までスクロール。

      Attack Surface ReductionのModules欄に flash*.ocx;packager.dll と入力し、右下のOKをクリック。

    回避策の解除

    1. dllhost.exeを選択した状態でRemove Selected(画面上の赤い×印)をクリックする
    2. POWERPNT.EXEをダブルクリック
      →Attack Surface ReductionのModules欄に flash*.ocx と入力し、右下のOKをクリック。
    関連記事