Microsoftは2024年9月6日(米国時間)、次期永続版Office製品である「Microsoft Office 2024」において、ActiveXコントロールを既定で無効にすることを発表しました。Microsoft 365 Appsサブスクリプション製品については、2025年4月から同様の変更を実施するとしています。この変更は、Win32デスクトップアプリケーション版のWord、Excel、PowerPoint、およびVisioに適用されます。各種申請書類をExcelワークシートなどで運用している企業は多いと思いますが、この変更について事前に知っておき、対処しておかないと、業務に大きく影響する可能性があります。
ActiveXコントロールは既定で無効へ、まずはOffice 2024から
Officeドキュメントにおいて、ActiveXコントロールは、オプションボタンやラベル、コンボボックス、リストボックス、スクロールバーなど簡単なものから、ボタンのクリックやオプションボタンの選択、マウスホバーなどのイベントを複雑なVBA(Visual Basic for Applications)関数に紐づけて実行させたりと、ドキュメントの自動化やユーザーとの双方向のやり取りを効率化できる便利な機能です。一方で、特定の古いバージョンのActiveXコントロールに存在する脆弱性が悪用され、Officeドキュメントを開くだけで悪意のあるコードが実行されてしまうというセキュリティ問題が繰り返されているのも事実です。そのため、現行バージョンのOfficeでも、ActiveXコントロールを含むドキュメントを開くと、警告メッセージを表示した上で、最低限の制限を適用してコントロールを有効にするようになっています。マクロなどコンテンツがブロックされることもありますが、その場合でもドキュメントを信頼できる場合は[コンテンツの有効化]をクリックすることで、ワンクリックでコンテンツを利用可能にすることができます。
MicrosoftはActiveXを、以前にお伝えしたVBScriptと同様に使用するべきではないレガシなテクノロジと位置付け、Internet Explorer(IE) 11(既にサポート終了)で既定で無効にし、Microsoft Edgeではサポートしなくなりました。そして近々、その流れはOfficeアプリにも適用されようとしています。
Microsoftは、2024年9月6日(米国時間)、「Microsoft 365管理センター」(https://admin.microsoft.com/)の「メッセージセンター」に「(Updated) ActiveX will be disabled by default in Microsoft Office 2024」をポストし、2024年10月にリリース予定の永続ライセンス版「Microsoft Office 2024」(Win32デスクトップアプリケーション版のWord、Excel、PowerPoint、およびVisio)において、ActiveXコントロールを既定で無効にすることを発表しました(画面1)。同様の措置は、Microsoft 365サブスクリプションの「Microsoft 365 Apps」に対しても2025年4月から実施される予定です。
※2025年4月18日追記) 2025年4月8日および17日のMicrosoft 365 Appsの更新リリース(Current Channel バージョン 2503)ではまだ無効化されていないようです。
画面1 Microsoft 365管理センターにポストされたActiveXコントロール既定で無効化のアナウンス
ActiveXコントロール無効化の影響は?
画面2のExvelワークシートは、「オプションボタン(ActiveXコントロール)」を配置し、ボタンの選択によってD列のセルをTRUE/FALSEに設定するごく簡単なサンプルです。現行バージョンのExcelの既定の設定では、期待通りに動作します。
画面2 「オプションボタン(ActiveXコントロール)」を配置した簡単なExcelワークシート
Office 2024ではActiveXコントロールが既定で無効にされます。画面3は、その設定を再現したExcel(Microsoft 365 AppsのCurrentChannelの現行バージョン)で同じファイルを開いたものです。ActiveXコントロールの静的なコンテンツ(ボタンやラベル)表示されていますが、オプションボタンを選択しようとしても選択できません。また、新たに別のActiveXコントロール部品を挿入しようとしても「オブジェクトを挿入できません」と表示されて挿入することができません。このように、Office 2024の既定の設定では、ActiveXコントロールとの対話や新たに作成したりすることができなくなるのです。
画面3 Office 2024の既定の設定を再現したExcelで開くと、オプションボタンを選択できないし、新たにActiveXコントロールを配置することもできない
VBAなどのマクロを含む場合(.xlxm)は、「セキュリティの警告 一部のアクティブコンテンツが無効にされました。クリックすると詳細が表示されます。」メッセージが表示されますが、画面3には何の警告メッセージも表示されません。なお、Office 2024の非商用ライセンス(Office Personal 2024など)は、アナウンスにあるように「ブロックされている内容 ActiveXコントロールの既定の設定が変更されました。トラストセンターに移動して、ActiveXの設定を確認してください。」というメッセージが表示されるそうです。
2024.10.3 追記) 2024年10月1日(米国時間)より、コンシューマーおよびスモールビジネス向けの「Office Home 2024」および「Office Home and Business 2024」の発売が開始されました。以下の画面は、これらの製品のExcel 2024(日本語版)でActiveXコントロールを含むワークシートを開いたものです。
(コンシューマー製品については、ActiveXコントロールの既定の設定が変更されたことが通知される)
今回の変更は完全無効化ではない、以前の動作に戻すことも
Office 2024の既定の設定は、現行バージョンのOfficeの「トラストセンター」の「ActiveXの設定」で、「警告メッセージを表示せずにすべてのコントロールを無効にする」を選択したときと同じ動作になります。現行バージョンの既定は「先に確認メッセージを表示してから、最低限の制限を適用してすべてのコントロールを有効にする」です。この設定に戻すことで、以前の動作に戻すことができます(画面4)。
画面4 「トラストセンター」の「ActiveXの設定」で「先に確認メッセージを表示してから、最低限の制限を適用してすべてのコントロールを有効にする」を選択すると、以前の動作に戻すことができる
また、Officeをポリシー管理用テンプレートで管理している場合は、「ユーザーの設定¥管理用テンプレート¥Microsoft Office 2016¥セキュリティ設定」にある「すべてのActiveXを無効にする」を「無効」(Office 2024の既定はこのポリシー設定が「有効」の場合と同じ動作)にすることで、元の動作に戻すことができます(画面5)。
Administrative Template files (ADMX/ADML) for Microsoft 365 Apps for enterprise/Office LTSC 2021/Office 2019/Office 2016 and the Office Customization Tool for Office 2016|Microsoft Download Center
このほか、レジストリの「HKEY_CURRENT_USER¥Software¥Microsoft¥Office¥Common¥Security」にある「DisableAllActiveX」値を「0」に設定することで、以前の動作に戻すこともできます。
画面5 Officeポリシー管理用テンプレートの「すべてのActiveXを無効にする」を「無効」にすることでも対処可能
Office 2024からの新しい既定の設定を受け入れ(推奨)、以前の動作に戻さずに利用する場合は、影響を受けるドキュメント側で、ActiveXコントロールを「フォームコントロール」に置き換えるなどの対処が必要です。
Office 2024のサポート期間はメインストリーム5年のみ
さて、来月にはいよいよ永続版ライセンスであるOffice 2024の販売が開始されるわけですが、この製品(LTSC版を含む)のサポートライフサイクルは5年で終了することに注意してください。MicrosoftはOffice 2016まで、企業向けの多くの製品と同様に、メインストリームサポート5年+延長サポート5年の10年サポートを提供してきましたが、Office 2019で7年(5年+2年)に短縮し、Office 2021からはメインストリームサポート5年のみになりました。このサポート期間短縮の理由は、Microsoft 365サブスクリプションへの移行を促進するためと言われています。
