VBAはセキュリティリスクなんてありません（キリッ）

baoo_dev @BaooDev

@Anubis_369 @tkgsn146 ??? 一番最初の発言は誰に対して言ったことでも無い。 敢えて言えば、パワーワードに引き摺られてVBAをセキュリティリスクなどと言ってる人達全般に対して言っただけですよ。 それも、誰かに向けて発言したわけでもない。

baoo_dev @BaooDev

そもそもVBAにセキュリティって頓珍漢でしょ。 VBAでセキュリティリスクのあるものなんて、正直あまり見たこと無いんですが。 VisualStudioにセキュリティリスクがあるとC言語プログラマが非難されるんかね?

おつう🐬公式 @pupurucom

@BaooDev リスクありきかと思いますよ。わたしは実力ないエンジニアなので貴殿とは異なる考えかもしれませんが、VBAはエモートすら作れるエレガントなコードなので、容易に考えるのはちょっと違うと思ってしまいます。意図外してたらごめんなさい。

baoo_dev @BaooDev

@pupurucom マクロウィルスを除けばCで書かれたウィルスが多いだろうと思います。 ではC言語はセキュリティリスクと呼ばれていますか? 悪意ある側が突く脆弱性をセキュリティリスクと言うのなら、緩い設定のExcelが該当するでしょう。 VBAではありません。

baoo_dev @BaooDev

@pupurucom もしVBAがセキュリティリスクと成り得るとすれば、概念的な意味でVBAの実行エンジン部分に感染するようなものであれば該当するかもしれません。 そこで私は逃げを打って、あまり見たことが無いと書いたのです。 有るかもしれないけど、普通は見たこと無いよね。

たかぎ@LED弄りの人 @tkgsn146

セキュリティ分野は素人なので恐縮ですが、Cのコンパイラ出力物には静的ヒューリスティック検知や、既存の脆弱性を突くコードに対する半パターン検知が使える認識です。 静的ヒューリスティック検知はもとより、Excelのプロセスとの分離も困難なVBAを、感染リスクが低いと見る技術的根拠はありますか？ twitter.com/BaooDev/status…

baoo_dev @BaooDev

@tkgsn146 それは少しピントが外れていませんか? ここで言ってるのは言語がセキュリティリスクと呼ばれるものと成りうるかどうかです。 感染リスクと言ってるのは攻撃される側のExcelのリスクですね。

たかぎ@LED弄りの人 @tkgsn146

@BaooDev セキュリティというのは、それこそISO/TC 97/SC 16が定義された頃からの一般的な解釈として、accountabilityやavailabilityを含むわけで、実行環境やユースケースも含めた包括的な議論しかできない筈ですが？ 運用や実装を抜きの、言語だけのセキュリティリスクという観点そのものが矛盾してませんか？

baoo_dev @BaooDev

@tkgsn146 Excelのプロセスとの分離が困難と言ってしまうのであればVBAという文言を使うべきでは無いのでは? 我々は概念的な意味で分離して考えていると思います。 分離して考えないのであればマクロウィルスが作れてしまうのはExcelの問題ですし、分離して考えるなら作れるのはVBAでもリスクはExcelや文書では?

baoo_dev @BaooDev

@tkgsn146 ん? なので矛盾してるのでは? すみません。 ちょっと理解出来てません。

たかぎ@LED弄りの人 @tkgsn146

@BaooDev 「VBAにセキュリティリスクがある」は「Microsoft OfficeにおけるVBAの実装方法や、その運用のされ方も含めての観点で、リスクが存在する」という文脈を理解できず、言語の観点からしか見てないのが矛盾である、と言ってます。 そのレベルで日本語の読解力がなく、理解できないということですか？

baoo_dev @BaooDev

@tkgsn146 ですから、それはVBAではなくExcelのリスクですよね。 なぜそういう時だけVBAと言うのか不思議です。 VBAなんて一度も使ったことが無くてもExcelの緩い設定で感染します。 Excelの設定の問題だと思いますが。

baoo_dev @BaooDev

@tkgsn146 多分、"VBA"をどう捉えるかの問題が大きいのだと思います。 私の捉え方は小さく捉えるなら"言語"で、大きく捉えるのならそれはExcelだろうというものです。

たかぎ@LED弄りの人 @tkgsn146

@BaooDev その屁理屈で言えば、それはExcelの問題ですらなく、Windowsの問題ですが？ そういう部分が矛盾だと言うのです。 （@Anubis_369 さん、宜しければ翻訳をお願いします）

たかぎ@LED弄りの人 @tkgsn146

@BaooDev @Anubis_369 ちなみにMicrosoftは (In fact, the automation of repetitive tasks is one of the most common uses of VBA in Office.) と書いてまして、VBAはOfficeと切り離され、独立した言語ではない認識のようですね。（docs.microsoft.com/en-us/office/v…） 貴方の認識が世間とズレてるのは、貴方の自由ですが。

baoo_dev @BaooDev

@tkgsn146 @Anubis_369 ん? つまりExcelの問題ですか?

豆腐の角 @ayutimali

@BaooDev @tkgsn146 @Anubis_369 横から。VBAの問題って≒.NetFramework4.8未満バージョンでのAPI問題です。 旧くてセキュリティ上問題があるからワークシート関数でユーザ関数設置できるようにしたりしてVBAをOfficeから取り除く準備してるわけです＞MS

baoo_dev @BaooDev

@ayutimali @tkgsn146 @Anubis_369 .NetFrameworkに脆弱性が存在したことは無いのですか? .NetFrameworkに脆弱性が発見されたらC#はセキュリティリスクとなるのですか? JVMに脆弱性が存在したらどうでしょう? JAVAがセキュリティリスクとなりますか?

たかぎ@LED弄りの人 @tkgsn146

技術的な話で頓珍漢な持論を並べたてた挙句、反論されたら 「私は正しい、なぜなら相手が間違ってる前提で調べて、間違ってない証拠は出なかった（具体的に調べた内容は書かない）」 こんなアホな考え方・主張を堂々と言っちゃう人がプログラマ名乗ってるとか、世も末だ。 twitter.com/BaooDev/status…

baoo_dev @BaooDev

@tkgsn146 @Anubis_369 あら、ここにもピント外れな話が。 もし、先の話がピント外れで無ければ無いほど、それはあなたの主張に沿った内容なわけだから私の問いにあなたが答えないのはナンセンスなわけですが。 最初からピント外れと思って調べた結果、ピント外れを否定するものは見つからなかったわけです。

2022-05-18 08:38:28

たかぎ@LED弄りの人 @tkgsn146

お前さんの理解が的外れなのは勝手だが、その理論を押し付けるなよ、と。 毎度、持論に都合が悪い要素や、間違った行いの指摘だけ理解できなくなる、極めて都合の良い愚かさを発動しておいて、よく言ったもので。 目的が技術的な議論でなく、自説ゴリ押しなら、技術ネタのフリはやめていただきたい。 twitter.com/BaooDev/status…

baoo_dev @BaooDev

@tkgsn146 あら? 全然違いますが。 「たぶんそんな高度な話というか日本語、この人は理解してない。」等と言っていたのにその高度な話を出来ない自分に向けて言ったらどうだね? こちらはどうピント外れなのか言っても良いが、それに対応して話を変えられるの嫌なんでね。

2022-05-19 08:32:44

たかぎ@LED弄りの人 @tkgsn146

技術的な話が理解できないまま、単語単位や勝手な想像で斜め上の反論（？）を繰り返した方が言うと、なかなか味わい深いですな。 2ヶ月程前に書かれてれば、まだ説得力もあったでしょうが。 そして貴方が最大にズレてる所以は「常識や技術的な正しさ」より「相手を言い負かすこと」を優先する点です。 twitter.com/BaooDev/status…

baoo_dev @BaooDev

@tkgsn146 ええと……… 書こうと思ったけど、時間が足りないのでちょっとだけ。 あなた方の高度な話とピント外れに気付いているなら、それ書いた方が良いですよ。 私が書いた後では気付いていたことを証明することが出来なくなります。 そもそもあなたが高度な話さえ知らなかったものと扱いますよ。

2022-05-20 08:45:01

baoo_dev @BaooDev

@tkgsn146 結局、気付きもせず、高度な話とやらも適当に相手をやり込める為に言っただけと。 実際は自分もそんな話を理解しておらず、適当に相槌を打っただけと。 これで高度な話とやらが相手を言い負かす言動じゃ無いのですかね?

baoo_dev @BaooDev

@tkgsn146 Cのランタイムに脆弱性があったからと言って、Cに脆弱性があるという話にはならないでしょう。 Cが必ず使うものや殆どのAPIに脆弱性があるならまだしも、そうでないならそれをもってCの脆弱性とは言えないでしょう。 同じことはVBAにも言えます。※1