Windows フォームのセキュリティに関するその他の考慮事項

[アーティクル]
09/17/2008

更新 : 2007 年 11 月

.NET Framework セキュリティ設定によっては、ローカルコンピュータとは異なり、アプリケーションが部分信頼環境で実行されることがあります。.NET Framework は、ファイルシステム、ネットワーク、アンマネージ API などの重要なローカルリソースへのアクセスを他のリソースの場合よりも制限します。セキュリティ設定により、セキュリティシステムが検証できない Microsoft Win32 API やその他の API を呼び出す機能が影響を受けます。また、ファイルやデータへのアクセス、印刷など、アプリケーションのその他の処理にも影響があります。部分信頼環境でのファイルやデータへのアクセスの詳細については、「Windows フォームにおけるファイルおよびデータへのより安全なアクセス」を参照してください。部分信頼環境での印刷の詳細については、「Windows フォームでのより安全な印刷」を参照してください。

以下のセクションでは、クリップボードの使用、ウィンドウ操作の実行、および部分信頼環境で動作しているアプリケーションからの Win32 API の呼び出しについて説明しています。

クリップボードへのアクセス

UIPermission クラスがクリップボードへのアクセスを制御し、関連付けられた UIPermissionClipboard 列挙値がアクセスのレベルを示します。使用されるアクセス許可レベルを次の表に示します。

UIPermissionClipboard の値	説明
AllClipboard	クリップボードは制限なしに使用できます。
OwnClipboard	クリップボードは制限付きで使用できます。クリップボードにデータを格納する機能 ([コピー] または [切り取り] のコマンド操作) は制限されません。テキストボックスなど、[貼り付け] を受け入れる固有のコントロールは、クリップボードのデータを受け入れます。しかし、ユーザーコントロールはプログラムでクリップボードからデータを読み取ることができません。
NoClipboard	クリップボードは使用できません。

既定では、[イントラネット] ゾーンでは AllClipboard アクセスが許可され、[インターネット] ゾーンでは OwnClipboard アクセスが許可されます。つまり、アプリケーションはクリップボードにデータをコピーできますが、プログラムでクリップボードに貼り付けたりクリップボードから読み取ったりはできません。これらの制限により、完全に信頼されていないプログラムは、他のアプリケーションによってクリップボードにコピーされた内容を読み取ることができません。アプリケーションがクリップボードへの完全なアクセスを必要とするにもかかわらず、アクセス許可がない場合は、アプリケーションに対するアクセス許可の度合いを高める必要があります。アクセス許可を増やす方法の詳細については、「コードアクセスセキュリティと ADO.NET」を参照してください。

ウィンドウ操作

UIPermission クラスは、ウィンドウ操作や他の UI 関連処理を実行するアクセス許可も管理し、関連付けられた UIPermissionWindow 列挙値がアクセスのレベルを示します。使用されるアクセス許可レベルを次の表に示します。

既定では、[イントラネット] ゾーンでは AllWindows アクセスが許可され、[インターネット] ゾーンでは SafeTopLevelWindows アクセスが許可されます。つまり、[インターネット] ゾーンでは、アプリケーションがほとんどのウィンドウ操作および UI 関連処理を実行できますが、ウィンドウの外観が変更されます。変更されたウィンドウには、最初の実行時にバルーン通知が表示され、変更されたタイトルバーテキストが表示され、タイトルバーに閉じるボタンが必要になります。バルーン通知とタイトルバーは、アプリケーションのユーザーに、アプリケーションが部分信頼で動作していることを示します。

UIPermissionWindow の値	説明
AllWindows	ユーザーはすべてのウィンドウとユーザー入力イベントを制限なしに使用できます。
SafeTopLevelWindows	ユーザーは、セーフトップレベルウィンドウとセーフサブウィンドウだけを描画に使用でき、それらのセーフトップレベルウィンドウとセーフサブウィンドウの中のユーザーインターフェイスに対するユーザー入力イベントだけを使用できます。これらのセーフウィンドウには明確なラベルが付けられ、最小サイズと最大サイズに制限があります。これらの制限により、システムログオン画面やシステムデスクトップの偽装など、有害の可能性がある、なりすまし攻撃が防止されます。また、親ウィンドウ、フォーカス関連の API、および ToolTip コントロールの使用に対して、プログラムによるアクセスが制限されます。
SafeSubWindows	ユーザーは、セーフサブウィンドウだけを描画に使用でき、そのセーフサブウィンドウの中のユーザーインターフェイスに対するユーザー入力イベントだけを使用できます。ブラウザ内に表示されるコントロールは、セーフサブウィンドウの一例です。
NoWindows	ユーザーは、ウィンドウおよびユーザーインターフェイスイベントを使用できません。ユーザーインターフェイスは使用できません。

UIPermissionWindow 列挙値によって示される各アクセス許可レベルでは、レベルが下がるにつれて許可される処理が少なくなります。SafeTopLevelWindows と SafeSubWindows の値によって制限される処理を次の表に示します。各メンバに対して必要なアクセス許可については、.NET Framework クラスライブラリのドキュメントで該当するメンバのトピックを参照してください。

SafeTopLevelWindows アクセス許可は、次の表に示される処理を制限します。

コンポーネント	制限される処理
Application	SafeTopLevelCaptionFormat プロパティの設定
Control	Parent プロパティの取得 Region プロパティの設定 FindForm、Focus、FromChildHandle、FromHandle、PreProcessMessage、ReflectMessage、または SetTopLevel の各メソッドの呼び出し返されたコントロールが呼び出し元のコントロールの子でない場合には、GetChildAtPoint メソッドの呼び出しコンテナコントロール内でのコントロールフォーカスの変更
Cursor	Clip プロパティの設定 Hide メソッドの呼び出し
DataGrid	ProcessTabKey メソッドの呼び出し
Form	ActiveForm プロパティまたは MdiParent プロパティの取得 ControlBox、ShowInTaskbar プロパティ、または TopMost プロパティの設定 50% より小さい Opacity プロパティ値の設定プログラムで WindowState プロパティを Minimized に設定 Activate メソッドの呼び出し None、FixedToolWindow、および SizableToolWindow という FormBorderStyle 列挙値の使用
NotifyIcon	NotifyIcon コンポーネントの使用は完全に制限されます。

SafeSubWindows の値は、SafeTopLevelWindows の値による制限に加えて、次の表に示される処理を制限します。

コンポーネント	制限される処理
CommonDialog	CommonDialog クラスから派生したダイアログボックスの表示
Control	CreateGraphics メソッドの呼び出し Cursor プロパティの設定
Cursor	Current プロパティの設定
MessageBox	Show メソッドの呼び出し

サードパーティコントロールのホスト

フォームでサードパーティコントロールをホストしている場合、他の種類のウィンドウ操作が発生する可能性があります。サードパーティコントロールとは、自分で開発およびコンパイルを行っていないカスタムの UserControl です。ホストシナリオを攻略するのは困難ですが、理論上、サードパーティコントロールが描画サーフェイスを拡張して、フォームの領域全体を対象にする可能性があります。このようなコントロールは、重要なダイアログボックスを模倣し、ユーザーのユーザー名/パスワードの組み合わせや銀行口座番号などの情報を要求する可能性があります。

このような考えられるリスクを制限するために、信頼できる販売元のサードパーティコントロールのみを使用します。確認できないソースからサードパーティコントロールをダウンロードした場合、攻略行為が実行されないかソースコードを確認します。ソースに悪意がないことを検証してから、アセンブリを自分でコンパイルし、ソースがアセンブリと一致することを確認します。

Win32 API 呼び出し

アプリケーションのデザインで Win32 API から関数を呼び出す必要がある場合は、アンマネージコードにアクセスします。この場合、Win32 API の呼び出しまたは値を使用するときに、ウィンドウまたはオペレーティングシステムに対するコードの動作が決定できません。SecurityPermission クラスと、SecurityPermissionFlag 列挙定数の UnmanagedCode 値によって、アンマネージコードへのアクセスを制御します。アプリケーションは、UnmanagedCode アクセス許可が与えられている場合にだけ、アンマネージコードにアクセスできます。既定では、ローカルに動作しているアプリケーションだけがアンマネージコードを呼び出すことができます。

Windows フォームのいくつかのメンバが、UnmanagedCode アクセス許可を必要とするアンマネージアクセスを提供します。アクセス許可を必要とする System.Windows.Forms 名前空間のメンバを次の表に示します。メンバに対して必要なアクセス許可の詳細については、.NET Framework クラスライブラリのドキュメントを参照してください。

コンポーネント	メンバ
Application	AddMessageFilter メソッド CurrentInputLanguage プロパティ Exit メソッド ExitThread メソッド ThreadException イベント
CommonDialog	HookProc メソッド OwnerWndProc メソッド Reset メソッド RunDialog メソッド
Control	CreateParams メソッド DefWndProc メソッド DestroyHandle メソッド WndProc メソッド
Help	ShowHelpメソッド ShowHelpIndex メソッド
NativeWindow	NativeWindow クラス
Screen	FromHandle メソッド
SendKeys	Send メソッド SendWait メソッド

アプリケーションがアンマネージコードを呼び出すアクセス許可を持っていない場合、UnmanagedCode アクセス許可を要求するか、別の方法で機能を実装することを考慮する必要があります。多くの場合、Windows フォームでは代わりに Win32 API 関数のマネージコードを提供します。代わりの手段がなく、アプリケーションがアンマネージコードにアクセスする必要がある場合は、アプリケーションに対するアクセス許可を増やす必要があります。

アンマネージコードを呼び出すアクセス許可を与えられたアプリケーションは、ほとんど何でも実行できます。そのため、アンマネージコードを呼び出すアクセス許可は、信頼されたソースからのアプリケーションに対してだけ与えるようにしてください。また、アプリケーションによっては、アンマネージコードへの呼び出しを生成するアプリケーション機能の一部をオプションにするか、完全信頼環境でのみ有効にすることもできます。危険なアクセス許可の詳細については、「危険なアクセス許可とポリシー管理」を参照してください。アクセス許可の昇格の詳細については、「一般的なセキュリティポリシー管理」を参照してください。