本頁作成日: 2003年9月18日
最終更新日: 2005年8月13日

オンラインスキャンと ActiveX コントロール



 オンラインスキャンの代表例

リンク先は当サイト外です。 Trend Micro:
ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/

リンク先は当サイト外です。 Symantec:
Symantec Security Check
http://www.symantec.com/region/jp/securitycheck/

リンク先は当サイト外です。 F-Secure:
F-Secure オンラインスキャナ
http://www.f-secure.co.jp/v-descs/disinfestation.html


オンラインスキャンは、ウィルス対策ソフトをインストールしてないマシンであっても、
(ブラウザ等の仕様・設定が合えば)Web上からウィルススキャンをできる便利なもの。
その仕組みは、ActiveX コントロールを使って、一時的にウィルススキャンエンジンを
コンピュータにインストールしてスキャンを実行するものです。

ベンダーが公表している注意事項をよく読んで、上手に利用しましょう。


関連:

リンク先は当サイト外です。 Trend Micro セキュリティ情報より:
ウイルスバスターオンラインスキャンのActiveX コンポーネントの
メモリバッファオーバーフローを原因とする脆弱性について
http://www.trendmicro.co.jp/hcall/overflow.asp

リンク先は当サイト外です。 Symantec security response より:
Symantec Security Check のActiveXにバッファ・オーバーフローの脆弱性
http://www.symantec.com/region/jp/sarcj/security/content/2003.06.25.html



リリースされたプログラムファイルなどに不具合が発見されると、
ベンダーは、Webなどを通じて注意と対策を呼びかけることがあります。
利用している製品のベンダーのWebなどを定期的にチェックしましょう。



 ActiveX コントロールにまつわること

上述のオンラインスキャンは、システム内をスキャン(ファイル検索)して、
システムに有害なコードが含まれるファイルを探し出し、そのファイルを
書き換えたり別名に変えたり削除できたりします。

ということは、インターネットゾーンのセキュリティ設定において
ActiveX コントロールを無防備に有効にしておくならば、
同様に、Web上に配置された得体の知れぬプログラムに対しても、
「システム内を弄る」権限を与えてしまうことになります

その結果、システム設定やファイル群が意図しない方向に改ざんされて、
ある企業のサーバーをクラックする中継基地(踏み台)に利用されたり、
ダイヤルアップネットワークの設定が書き換えられ、電話回線利用者が
国際電話やダイヤルQ2に勝手に繋げられたりする危険(自動架電※)も
まったくないとは言い切れないかもしれません。


※印:

リンク先は当サイト外です。 警視庁Webより:
身に覚えのない国際電話料金請求(自動架電)
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku33.htm



2005.08.13追記:
説明図

TOPページからフラッシュムービーなどを多用するActiveX コントロールライクなサイト。
このようなWebサイトが増えると、訪問者は「ページが正常に表示できない」という理由から
ブラウザの(インターネットゾーンの)セキュリティレベルを低くしがちになってしまいます。

ActiveX コントロールは(特にサイト設置者に)便利な面があって多様されがちですが、
使われ方が良くないととても大きな弊害・危険が(特にサイト訪問者に向けて)あるので、
仕組みをよく理解し、自己責任の下で上手に利用していくことが重要と思われます。




目次へ戻る