ActiveX

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

ActiveX(アクティブエックス)とは、マイクロソフトが開発するインターネットに関するソフトウェアコンポーネントやその技術を示す用語である。一般的には同社製のウェブブラウザであるInternet Explorerやそのコンポーネントを利用したソフトウェア上で動的なコンテンツを再生するための技術(ActiveXコントロール)を指す。JavaScriptHTML5/CSS3といった標準規格の普及によって2015年現在では当たり前となった、RIA (リッチインターネットアプリケーション) を実現するための技術の先駆けとも言える。

元々はマイクロソフトがオブジェクトのやりとりを行う仕組みであるObject Linking and Embedding (OLE) からインターネットに関する技術を分離させたものがActiveXにあたる。

ActiveXコントロール[編集]

開発者を除いたエンドユーザーの間では、ActiveXといえば大抵の場合、ActiveXコントロールを指していることが多い。ActiveXコントロールの例としては、Microsoft UpdateAdobe FlashAdobe ShockwaveQuickTime電子国土Webシステムなどが挙げられ、Internet Explorerでそれらを再生するためのプラグインとして利用されることが多い。

Internet Explorer以外のウェブブラウザではWindows版のMozillaでも「Mozilla ActiveX Controls」というプラグインを利用すればActiveXコントロールを使ってGeckoをソフトウェアへと組み込むことができるようになる。また、WindowsのみならずMac OSで動作するInternet Explorer for Macでも利用できた。

問題[編集]

ブラウザ依存[編集]

ActiveXコントロールを採用するサイトでは、Internet Explorerもしくは前述のプラグインを導入したFirefox以外のブラウザでは、アクセスができない。例えば、Macintoshの場合はSafariが標準のブラウザのため、Firefoxと前述のプラグインを導入するか、Boot Campを導入してWindows XP又はWindows Vista又はWindows 7を購入してインストールする、あるいは有志によって再配布されている物を探す必要がある。またUnix系のOSではサポートされないケースが多い。

ActiveXを多用する企業や官公庁は特に日本[1]韓国に多く、日本や韓国の官公庁や企業では128ビット暗号化にSSLを採用せず、独自のActiveXアプリ(Xecureweb等)を採用しており、官公庁や金融機関やインターネットショッピングなどに積極的に採用されている。そのため、WindowsとInternet Explorerとの組み合わせに依存した形となっている。また、ActiveXを使った暗号化により、後述のセキュリティ問題があるという事も否めない。詳しくは韓国のインターネット#問題点を参照。

セキュリティ[編集]

Webページの表示に変化を与えたり、インタラクティブ性を提供することでウェブサイトを閲覧する楽しさや利便性を飛躍的に向上させる。しかし、Windows Vistaよりも前のバージョンのOSではActiveXコントロールの動作に制限が掛けられていないためにセキュリティ上、しばしば問題になっている[2] [3](同様の技術であるJavaアプレットではサンドボックス機構によりその動作範囲は厳しく制限される)。例えば、シマンテックトレンドマイクロのオンラインウイルススキャンサービスからわかるように、ActiveXコントロールを用いれば現在ログオンしているユーザーがアクセスできるコンピュータ内のファイル全てに自由にアクセスできる。したがって、マルウェアとして動作するような、悪意のあるActiveXコントロールがユーザーのファイルに不正アクセスし、情報を盗み取ることも可能である。ActiveXコントロールのインストールには充分気をつけなくてはならない。

対策[編集]

ActiveXコントロールにベンダーがデジタル署名を付与[4]することで、それが第三者によって改変されていないかをユーザが確認できる。署名の検証ができないActiveXコントロールを避けることで、正当なActiveXコントロールに似せた、偽のコントロールを導入してしまうリスクを低減することができる。

なお、デジタル署名はあくまでもオリジナルとの同一性を証明するものであり、ベンダーが偶然ないしは故意に危険なコードを実装することで危害を与えることは可能である。ActiveXコントロールのセキュリティホールを攻撃する不正なデータを受信することで被害を受ける可能性が多数指摘されている[5][6]

また、Windows XP Service Pack 2以降は初期設定で ActiveXコントロールのインストールやダウンロードを自動的にブロックして情報バーでその旨を通知するようになっている。Internet Explorer 7ではActiveXコントロールの機能を実装した上で、標準設定では無効とされている。Windows Vistaでは、ActiveXコントロールはより低い権限で実行し、アクセス可能な範囲を極力狭める機構が導入された[7]。また、2015年に発売されるWindows 10に含まれる新ブラウザMicrosoft EdgeではActiveXやVBScriptなどの「古いIE技術」が削除され、サポート外となった[8]

その他のActiveX技術[編集]

Microsoft は ActiveX を利用した様々な製品を開発し、その多くは2015年現在においても利用されている。

脚注[編集]

  1. ^ e-Gov電子申請システム動作確認環境
  2. ^ ActiveX/プラグインについて|イチからはじめるセキュリティー|eoセキュリティーインフォメーション
  3. ^ Blogs - Japan IE Support Team Blog - Site Home - TechNet Blogs
  4. ^ MSDN Web Development Developer Center: Authenticode
  5. ^ Windows Media Player プラグインの脆弱性により、リモートでコードが実行される (911564) (MS06-006)
  6. ^ Macromedia - APSB06-03: Flash Player Update to Address Security Vulnerabilities
  7. ^ セキュリティ対策の要点解説 第 20 回 Windows Vista のセキュリティ機能 ~ Internet Explorerの保護モード ~
  8. ^ MS、「Edge」ブラウザで非対応の技術を明らかに--「ActiveX」「VBScript」など”. CNET Japan (2015年5月8日). 2015年7月13日閲覧。

関連項目[編集]