SHA-1廃止が引き起こす悲劇と対策法〜開発者(マクロ署名者)編〜

IT・IT製品TOP > Key Conductors > 山城 章仁(株式会社ディーバ) > SHA-1廃止が引き起こす悲劇と対策法〜開発者(マクロ署名者)編〜
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

SHA-1廃止が引き起こす悲劇と対策法〜開発者(マクロ署名者)編〜

エンドポイントセキュリティ 2016/02/24

 前回より「SHA-1」廃止問題で、主に開発者が注意すべき事柄について説明していますが、今回はOfficeのマクロの署名にする場合の注意点について説明します。旧環境への対応が焦点となります。

悲劇:Excelのバージョンにより、SHA-2で署名したファイルの署名が認識されない?

 今回の“悲劇”は、Excelのバージョンによって、SHA-2で署名したOfficeファイルの署名が認識されない、といった問題です。「Office 2007」についてはSHA-2の証明書で署名したファイルは、有効な署名として認識されません。

 つまり「このデジタル署名は無効であり、信頼できません。」と表示され、「このコンテンツを有効にする」「この発行者のドキュメントをすべて信頼する」の選択肢が表示されず、「不明なコンテンツから保護する」の選択肢しか表示されません。「署名の詳細を表示」をクリックして表示される「デジタル署名の詳細」には「このデジタル署名は問題ありません」と表示されるにも関わらずです。

Windows10+Excel2007での表示例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Windows10+Excel2007での表示例

 これは「デジタル署名の詳細」画面はOSによる署名の検査結果を表示しており、「Microsoft Office セキュリティオプション」画面については、Excel2007による署名の検査結果を表示しているという処理の違いから生じます。

 OfficeがSHA-2証明書に対応するには、OfficeのバージョンがSHA-2証明書に対応する必要があります。(※以下、注意)
・SHA-2証明書に対応するExcelのバージョンは Excel 2010 SP2 からです。ServicePackを適用していないExcel2010は対応していません。
・Windowsのバージョンは 関係ありません。

 これらの解決策としては以下2つのいずれかでしょう。

(a) 継続してSHA-1証明書で署名する。

(b) SHA-2証明書で署名し、SHA-2に対応しないOfficeを使っているユーザには、該当のマクロ入りファイルを信頼済みドキュメントに登録するように案内するか、該当のマクロ入りファイルを配置する場所を信頼できる場所に登録するように依頼する。

 SHA-1のSSLサーバー証明書はもう入手できませんが、SHA-1のコードサイニング証明書は、Vistaの救済策用にまだ入手することが可能です。Vistaの救済策用が広く喧伝されていますが、Office2007の救済策も兼ねています。

 ExcelファイルはSHA-1廃止問題の対象外なので、Office2007を含めて考えた場合、SHA-1証明書で署名することは正当な署名方法です。以下において、ExcelファイルがSHA-1廃止問題の対象外であることを、その動きから確認していきます。

 次の図は、Webメールからファイルに添付されたxlsファイルをハードディスクに保存したものを、Explorerから「ファイルのプロパティ」を見たところです。

 Webからダウンロードしているので、SHA-1証明書の署名無効化条件であるMOTW(Mark of the Website)属性をもつファイルという条件を満たしています。

 赤枠部分の表示がMOTW属性を示しています(この画面に実行可能ファイルであれば「デジタル署名」タブがありますが、xlsファイルには「デジタル署名」タブがないことからも扱いが異なることが想像できます)。

 このファイルをExcelから開くと、そもそもインターネット経由ということで「保護ビュー」扱いとなり、マクロはもとより編集も不可能になります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 ここで「編集を有効にする」ボタンを押すと、オレンジの部分が次のように変わり…

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 「マクロが無効にされました」の文字をクリックすると、次の画面に遷移し「コンテンツの有効化」→「詳細オプション」をクリックすると…

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 次のようにデジタル署名の確認画面に遷移し、デジタル署名が有効に扱われていることが分かります。 このファイルはMOTW属性をもつファイルなので、SHA-1廃止対象であるように思えますが、Excelファイルはそもそも対象外なので、SHA-1証明書は有効に取り扱われます。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 ここで「この発行者のドキュメントをすべて信頼する」にすると、この署名を信頼できる発行元に設定することができます。これにより同じ証明書で署名されたインターネット経由のファイルは、保護ビューの解除さえすれば「マクロが無効になりました」表示はされずにマクロが有効になるようになります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 ちなみに、そもそも「保護されたビュー」になるのが嫌ということであれば、左図のように利用者にエクスプローラのプロパティ表示画面で「ブロックの解除」を選択してもらうという手段も考えられます。

 なおcabファイルの場合には、ファイルダイジェストアルゴリズムをSHA-2にするか否かという論点がありましたが、Officeファイルのデジタル署名においてはファイルダイジェストアルゴリズムは選択の余地がなく、md5となっています(下図参照)。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008512


IT・IT製品TOP > Key Conductors > 山城 章仁(株式会社ディーバ) > SHA-1廃止が引き起こす悲劇と対策法〜開発者(マクロ署名者)編〜

このページの先頭へ

キーマンズネットとは
株式会社アバントのグループ企業である株式会社ディーバにて連結会計パッケージソフトDivaSystemの帳票エンジンDivaReporterおよびExcel関数エンジンFormula-Xの設計・開発に従事。主に C++ および Excel VBAが専門分野。ニッチな技術分野の掘り下げに深い関心を持っています。

ページトップへ