ActiveX

ActiveX（アクティブエックス）とは、マイクロソフトが開発するインターネットに関するソフトウェアコンポーネントやその技術を示す用語である。一般的には同社製のウェブブラウザであるInternet Explorerやそのコンポーネントを利用したソフトウェア上で動的なコンテンツを再生するための技術（ActiveXコントロール）を指す。

元々はマイクロソフトがオブジェクトのやりとりを行う仕組みであるObject Linking and Embedding(OLE)からインターネットに関する技術を分離させたものがActiveXにあたる。

ActiveXコントロール

開発者を除いたユーザーの間では、ActiveXといえば大抵の場合、ActiveXコントロールを指していることが多い。ActiveXコントロールの例としては、Adobe FlashやShockwave、Quicktime、電子国土Webシステムなどが挙げられ、Internet Explorerでそれらを再生するためのプラグインとして利用されることが多い。

Internet Explorer以外のウェブブラウザではWindows版のMozillaでも「Mozilla ActiveX Controls」というプラグインを利用すればActiveXコントロールを使ってGeckoをソフトウェアへと組み込むことが出来るようになる。また、WindowsのみならずMac OSで動作するInternet Explorer for Macでも利用できた。

問題

ブラウザ依存

ActiveXコントロールを採用するサイトでは、Internet Explorerもしくは前述のプラグインを導入したFirefox以外のブラウザでは、アクセスが出来ない。例えば、Macintoshの場合はSafariが標準のブラウザの為、Firefoxと前述のプラグインを導入するか、Boot Campを導入してWindows XP又はWindows Vista又はWindows 7を購入してインストールする、あるいは有志によって再配布されている物を探す必要がある。またUnix系のOSではサポートされないケースが多い。

ActiveXを多用する企業は特に韓国に多く、韓国の官公庁や企業では128ビット暗号化にSSLを採用せず、独自のActiveXアプリ（Xecureweb等）を採用しており、官公庁や金融機関やインターネットショッピングなどに積極的に採用されている。そのため、WindowsとInternet Explorerとの組み合わせに依存した形となっている。また、ActiveXを使った暗号化により、後述のセキュリティ問題があるという事も否めない。詳しくは韓国のインターネット#問題点を参照。

セキュリティ

Webページの表示に変化を与えたり、インタラクティブ性を提供することでウェブサイトを閲覧する楽しさや利便性を飛躍的に向上させる。しかし、Windows Vista以外ではActiveXコントロールの動作に制限が掛けられていない^[1]ためにセキュリティ上、しばしば問題になっている。例えば、シマンテックやトレンドマイクロのオンラインウイルススキャンサービスからわかるように、ActiveXコントロール を用いれば現在ログオンしているユーザーがアクセスできるコンピュータ内のファイル全てに自由にアクセスできる。したがって、マルウェアとして動作するActiveXコントロールがユーザーのファイルに不正アクセスし、情報を盗み取ることも可能である。ActiveXコントロールのインストールには充分気をつけなくてはならない。

対策

ActiveXコントロールにベンダーがデジタル署名を付与^[2]することで、それが第三者によって改変されていないかをユーザが確認出来る。署名の検証が出来ないActiveXコントロールを避けることで、正当なActiveXコントロールに似せた、偽のコントロールを導入してしまうリスクを低減することができる。

なお、デジタル署名はあくまでもオリジナルとの同一性を証明するものであり、ベンダーが偶然ないしは故意に危険なコードを実装することで危害を与えることは可能である。ActiveXコントロールのセキュリティホールを攻撃する不正なデータを受信することで被害を受ける可能性が多数指摘されている^[3][4]。

また、Windows XP Service Pack 2以降は初期設定で ActiveXコントロール のインストールやダウンロードを自動的にブロックして情報バーでその旨を通知するようになっている。Internet Explorer 7ではActiveXコントロールの機能を実装した上で標準では無効とされている。Windows Vistaでは、ActiveXコントロールはより低い権限で実行し、アクセス可能な範囲を極力狭める機構が導入された^[5]。

その他のActiveX技術

Microsoft は ActiveX を利用した様々な製品を開発し、その多くは今日においても利用されている。

• ActiveX Data Objects
• Active Server Pages
• DirectShow
• Collaboration Data Objects
• Active Scripting
• Advanced Systems Format

脚注

1. ↑ 同様の技術であるJavaアプレットではサンドボックス機構によりその動作範囲は厳しく制限される。
2. ↑ MSDN Web Development Developer Center: Authenticode
3. ↑ Windows Media Player プラグインの脆弱性により、リモートでコードが実行される (911564) (MS06-006)
4. ↑ Macromedia - APSB06-03: Flash Player Update to Address Security Vulnerabilities
5. ↑ セキュリティ対策の要点解説 第 20 回 Windows Vista のセキュリティ機能 ～ Internet Explorerの保護モード ～

関連項目

• Component Object Model
• Internet Explorer

テンプレート:Asbox