Excel VBAコーディングの安全性とは「(4)http|s以外のインターネット通信」

Excel VBAの安全性

2023.11.192024.07.24

この記事は約24分で読めます。

Excelのマクロやアドオンなどを利用する際に「これ使っても大丈夫なんだよね」と気になる事は無いでしょうか?

ではそうなると、「悪くない安全なマクロやアドオンとは?どのようなコーディンクになるのか?」という疑問が沸いてくるのですが、Microsoft ドキュメントの中を探してみても、これに答えてくれるページを見つける事はできませんでした。

そこでシリーズで「Excel VBAコーディングの安全性」について考えて行く事にしました。

シリーズ四回目の今回は、TCP/IPでのインターネット通信にはいろいろと規格(プロトコル)ありますが、その中でもhttp・https以外での規格(プロトコル)について取り上げています。

http|s以外の規格(プロトコル)で良く使われるものとしては、メールのSMTP・POP3・IMAPやファイル転送のFTP・FTPS・SFTP・SCPなどがありますが、実装の仕方や機能には多くのバリエーションが存在します。

ただし、まずは追加モジュールや環境設定は必要としない前提でこれらをすべて取り上げるとポイントが分かり難くなってしまうので、安全性を考える上で外せないメールであれば送信、ファイル転送であれば受信の方法を中心にご説明する事にします。

※動作は32bit版Excel 2016と64bit版Excel 2021のバージョン2309(ビルド 16827.20166)を使用して検証しています。

VBAでメールやFTPのインターネット通信をする時のバリエーション
WinINet関数によるFTP通信
コラボレーションデータオブジェクト (CDO)を使ったメール送信
1. コーディング事例
Outlookを使ったメール送信
今回のまとめと次回の予告

VBAでメールやFTPのインターネット通信をする時のバリエーション

メールやFTPについて一覧表にまとめて見ました。

すべてを網羅しているとは言い切れませんがWeb上で探すと見つかるものを列挙していますが、デフォルト環境のままで使えるやり方に限定しています。例えば.NET環境やbasp21などはインストールされていない前提です。

またコマンドラインシェル(バッチ”.bat”ファイルやPowerShellなど)を使ってインターネット通信をする事ができますが、これらにつきまして今回では無く別の回でまとめてご紹介したく存じます。

No	名前	ライブラリ/ 参照設定	種類	機能など
1	InternetOpen InternetConnect FtpGetFile	wininet.dll	win32	ftp通信
2	CDO.Message	cdosys.dll/ Microsoft CDO for Windows 2000 Library	comクラス	コラボレーションデータオブジェクト (CDO)
3	Outlook.Application	MSOUTL.OLB/ Microsoft Outlook 16.0 Object Libray	comクラス	OutLookを使う
4	SendMail	－	ワークシート関数	OutLookを使う

表1：インターネット通信のやり方

FTPは1つ、メールは3つほどやり方があるのですが、簡単に特徴をまとめます。

WinINet関数によるFTP通信

本シリーズは「Excel VBAコーディングの安全性」をテーマにしておりますが、win32APIの使用についてはすべてを掘り下げてご説明するのは難しいと感じています。

ただFTP通信に関してはコマンドラインシェルを除くとwin32API以外でのやり方が見つからなかったのでご紹介させていただきました。

なおコーディング事例で取り上げているのはFTPの機能の中で受信の機能だけにしぼっていますので、あらかじめお含み置きいただければ幸いです。

※コーディング事例を作成するに当たり次のサイトで主にwin32APIの呼び方を参考にさせていただきました。

【VBA】Windows APIを使用して、FTPサーバーへファイルを送信/受信する

【VBA】Windows APIを使用して、FTPサーバーへファイルを送信/受信するVBAコードです！

また、本シリーズの補足記事としての「Excel VBAでWinINetの関数を使ってhttp|s通信を実装する」に掲載したHINTERNET型の階層の一覧表で、今回FTPの受信機能で使用するのは下図の赤枠で囲ったwin32APIになります。

コーディング事例

「Excel VBAでWinINetの関数を使ってhttp|s通信を実装する」でのコーティング事例に合わせたコーディングをしています。

InternetConnect関数は「Excel VBAでWinINetの関数を使ってhttp|s通信を実装する」でご説明していますが、FTPでは接続時にユーザーid・パスワードを設定するのでご注意ください。

InternetConnect([1],[2],[3],[4],[5],[6],[7],[8])関数
- [4]:FTPのユーザーid
- [5]:[4]のパスワード
FtpGetFile([1],[2],[3],[4],[5],[6],[7])関数結果はブーリアン型
※ FTPサーバーからファイルを取得してローカルに指定したファイル名で保存します。
- [1]:InternetConnect関数で取得したハンドル値をセットします。
- [2]:取得するファイル名
- [3]:ローカルでのファイル名
- [4]:True/Falseをセット。Trueをセットすると[3]が既存の場合は関数の結果はFalseになります。
- [6]:ファイル属性で、ASCII/バイナリ、読込の振る舞い方を設定

FtpGetFileA 関数 (wininet.h) - Win32 apps

FTP サーバーからファイルを取得し、指定したファイル名の下に格納し、プロセスで新しいローカルファイルを作成します。 (ANSI)

win32APIのDeclareステートメントを標準モジュールの先頭でコーディングします。

'WinINet関数の使用を初期化
Declare PtrSafe Function InternetOpen Lib "wininet.dll" Alias "InternetOpenA" ( _
    ByVal lpszAgent As String, ByVal dwAccessType As Long, ByVal lpszProxyName As String, _
    ByVal lpszProxyBypass As String, ByVal dwFlags As Long) As LongPtr
'特定のサイトの HTTP セッションを開く
Declare PtrSafe Function InternetConnect Lib "wininet.dll" Alias "InternetConnectA" ( _
    ByVal hInternet As LongPtr, ByVal lpszServerName As String, ByVal nServerPort As Long, _
    ByVal lpszUserName As String, ByVal lpszPassword As String, ByVal dwService As Long, _
    ByVal dwFlags As Long, ByVal dwContext As LongPtr) As LongPtr
'FTP サーバーからファイルを取得し、指定したファイル名で格納
Declare PtrSafe Function FtpGetFile Lib "wininet.dll" Alias "FtpGetFileA" ( _
    ByVal hConnect As LongPtr, ByVal lpszRemoteFile As String, ByVal lpszNewFile As String, _
    ByVal fFailIfExists As Boolean, ByVal dwFlagsAndAttributes As Long, _
    ByVal dwFlags As Long, ByVal dwContext As LongPtr) As Boolean
'1 つのインターネットハンドルを閉じる
Declare PtrSafe Function InternetCloseHandle Lib "wininet.dll" (ByVal hInternet As LongPtr) As Boolean

コンスタント変数	用途
FTPSERVER	接続先URL
USER	FTPユーザid
PASSWORD	〃パスワード
SERVERFOLDERPATH	接続先のフォルダーパス
TARGETFILE	取得するファイル名
LOCALFOLDERPATH	保存先のフォルダーパス

FTPでデータを受信するためには下記の情報が必要になるのですが、今回はコンスタント変数にセットをしています。

Sub WininetFtpGet()
Const FTPSERVER As String = "www....jp"  '接続先URL
Const USER As String = "....id"  'FTPユーザid
Const PASSWORD As String = "....pw"  '〃パスワード
Const SERVERFOLDERPATH As String = "/..../public_html/"  '接続先のフォルダーパス
Const TARGETFILE As String = "ads.txt"  '取得するファイル名
Const LOCALFOLDERPATH As String = "C:\Users\...\"  '保存先のフォルダーパス
'
Const INTERNET_OPEN_TYPE_PRECONFIG As Long = 0&
Const INTERNET_SERVICE_FTP As Long = 1
Const FTP_TRANSFER_TYPE_UNKNOWN As Long = &H0
Const FTP_TRANSFER_TYPE_ASCII As Long = &H1
Const FTP_TRANSFER_TYPE_BINARY As Long = &H2
Const INTERNET_FLAG_RELOAD As Long = &H80000000
Dim hInternet As LongPtr, hConnect As LongPtr, hResult As LongPtr
Dim l_ServerPort As Long
Dim l_Flags As Long
    hInternet = InternetOpen("WininetOpenReqest", INTERNET_OPEN_TYPE_PRECONFIG, vbNullString, vbNullString, 0&)
    If hInternet = 0 Then
        Debug.Print Err.LastDllError & "-オープン：エラー."
        Exit Sub  '<<<<<<<<
    End If
    l_ServerPort = 21&  'INTERNET_DEFAULT_FTP_PORT
    hConnect = InternetConnect(hInternet, FTPSERVER, l_ServerPort, USER, PASSWORD, INTERNET_SERVICE_FTP, 0&, 0&)
    If hConnect = 0 Then
        Debug.Print Err.LastDllError & "-コネクト：エラー."
        Call InternetCloseHandle(hInternet)
        Exit Sub  '<<<<<<<<
    End If
    'ファイルを受信
    l_Flags = FTP_TRANSFER_TYPE_ASCII Or INTERNET_FLAG_RELOAD
    hResult = FtpGetFile(hConnect, SERVERFOLDERPATH & TARGETFILE, LOCALFOLDERPATH & TARGETFILE, False, 0&, l_Flags, 0&)
    If (hResult) Then
        Debug.Print "受信OK"
    Else
        Debug.Print Err.LastDllError & "-受信：エラー."
    End If
    Call InternetCloseHandle(hConnect)
    Call InternetCloseHandle(hInternet)
End Sub

Windows ファイアウォールが「Windows セキュリティの重要な警告」ポップアップを表示する条件

このコーディングを実行する際にWindowsファイアウォールによって「Windows セキュリティの重要な警告」のポップアップを表示する場合があります。

これについては下記の「日本マイクロソフトWindows Supportチームによる、サポート情報Blog」に記載されていますので、ご参照いただければ幸いです。

ただし、「この機能があるからwin32APIでFTPを実行する悪意のあるコーディングは作れない」とするのはリスクがあるまで、きちっと「悪意のあるプログラム」になっていない事を確認する必要がある認識です。

FTPではどこを確認すべきか?

FTPの場合もhttp|s通信の時と同様に接続先URLを確認する必要があります。

受信するデータがASCIIかBINARYかはFtpGetFile関数で指定をしていますが、ASCIIが指定されていてたとしても「それなら大丈夫」とはならない事は、「Excel VBAコーディングの安全性とは「(2)EXEやソースの隠蔽」でワークシートに16進表記でバイナリーファイルを格納できる事からご理解いただけるものと存じます。

なお隠し先は単にワークシートだけではなく「Excelファイル内のいろいろな場所」に隠す事ができるのですが、FTPを使えばその隠し場所が「インターネット通信できるどこか」になる分けで、より多くの悪意のあるデータ、しかもアップデートされた情報を取得できることになりますので注意が必要です。

コラボレーションデータオブジェクト (CDO)を使ったメール送信

Windows 2000 ライブラリ (Cdosys.dll) のコラボレーションデータオブジェクト (CDO) 1.2.1を使用して電子メールメッセージを送信する事ができます。
※CDOはExtend MAPI機能をラップして提供するためのクライアントライブラリになります。

ただし下記のMicrosoft ドキュメントに書かれているように、Outlook2010以降のバージョンがインストールされている場合は推奨もサポートもされないようです。そもそもOutlookオブジェクトモデルが大幅に拡張されたOutlook 2007以前から存在する歴史のあるクライアントライブラリです。

※ただし入っていない時はCDO1.2.1を使用する事に問題は無いと書かれています。

CDO 1.2.1 は Outlook 2010 以降のバージョンではサポートされていません - Outlook

コラボレーションデータオブジェクト (CDO) 1.2.1 は、Outlook 2010 以降のバージョンではサポートされていません。

また次のMicrosoftドキュメントは英語版しか用意されていませんがCDOfor Exchange 2000 Server (CDOEX)の「configuration/名前空間」に関すドキュメントが公開されています。

https://schemas.microsoft.com/cdo/configuration/ Namespace

ただしドキュメントの書出しにはすべてつぎのような「断り書き」が付けられています。

このコンテンツは現在、積極的にメンテナンスされていません。これらのテクノロジを現在も使用しているすべての人に対して現状のまま提供され、最新の製品バージョンまたはサービスリリースに関する正確性の保証または主張はありません。
Google Translate

だからと言って「悪意のあるプログラム」で使用されないとは言う事はできません。

なおコーディング事例を作成するにあたり下記のサイト「blog808」を参考にさせていただきました。

【VBA】CDOでメールを自動送信する方法（Outlook以外からも送信可能！マクロ）

Windows環境でCDO(Microsoft Collaboration Data Objects)によるVBAの自動メール送信方法。サーバや端末にメーラーをインストールしておら...

コーディング事例

メールを送信するためには、①送信メールの情報と②送信先のメールサーバーの情報が必要です。

参考にしたサイト「blog808」ではYahooメールとGmailの場合のコーディング事例を掲載していますので、それ以外でSMTP認証をしている場合のコーディング事例をご紹介いたします。

メールを送信するためには①送信するメール自身の情報と②送信先のメールサーバの情報が必要になるのですが、今回はコンスタント変数にセットをしています。

①送信メールの情報

コンスタント変数	用途
MAILFROM	送信者
MAILTO	宛先
SUBJECT	件名
BODY	本文

②送信先メールサーバーの情報

名前空間	コンスタント変数	用途
smtpserver	SMTPSERVER	送信先SMTPサーバのURL
sendusing	SENDUSING	値:1～3　何のSMTPを使うか
smtpserverport	SERVERPORT	使用するSMTPポートの番号
smtpconnectiontimeout	TIMEOUT	接続試行が中止されるまでの秒数
smtpauthenticate	CDOBASIC	値:0～2　認証メカニズム
smtpusessl	－	SSLを使用するかのBOOL値
sendusername	SENDUSERNAME	SMTP認証ユーザーID
sendpassword	SENDPASSWORD	SMTP認証パスワード
languagecode	－	文字コードを指定する

※リンク先はExchange Server 2003のMicrosoftドキュメント(英語)

Private Sub SendMailByCDO()
Const SMTPSERVER As String = "smtp.....jp"
Const SENDUSING = 2  '1はローカルにSMTPサーバーが存在する時
Const SERVERPORT As Integer = 465 '接続先SMTPサーバーの設定に従う
Const TIMEOUT As Integer = 30
Const CDOBASIC = 1  '基本 (クリア テキスト) 認証メカニズムを使用
Const SENDUSERNAME As String = ".....@from.....jp"
Const SENDPASSWORD As String = "....."
Const NS As String = "http://schemas.microsoft.com/cdo/configuration/"
Const MAILFROM As String = ".....@from.....jp"
Const MAILTO As String = "......@to.....jp"
Const SUBJECT As String = "VBA Send Mail By CDO"
Const BODY As String = "Hollow World!"
Dim objCDO As Object
    Set objCDO = CreateObject("CDO.Message")  'New CDO.Message
    With objCDO
        With .Configuration.Fields
            .Item(NS & "smtpserver") = SMTPSERVER ' SMTPサーバURL
            .Item(NS & "sendusing") = SENDUSING ' SMTPを指定
            .Item(NS & "smtpserverport") = SERVERPORT ' SMTPポート
            .Item(NS & "smtpconnectiontimeout") = TIMEOUT ' 接続試行のタイムアウト
            .Item(NS & "smtpauthenticate") = CDOBASIC ' 認証メカニズムの指定
            .Item(NS & "smtpusessl") = True ' SSLを指定(接続先SMTPサーバーの設定に従う)
            .Item(NS & "sendusername") = SENDUSERNAME ' SMTP認証ユーザーID
            .Item(NS & "sendpassword") = SENDPASSWORD ' SMTP認証パスワード
            .Item(NS & "languagecode") = "shift-jis" ' 文字セット指定
            .Update  ' 設定を更新
        End With
        .MimeFormatted = True 'MIMEを使って書式設定
        .From = MAILFROM ' 送信者
        .To = MAILTO ' 宛先
        .SUBJECT = SUBJECT ' 件名
        .TextBody = BODY ' 本文
        .send ' 送信
    End With
    Set objCDO = Nothing
End Sub

Outlookを使ったメール送信

OutlookはいままではOffice製品が端末にインストールされている必要があったのですが、2024年にWindowsメールがOutlookに切り替えられるために標準で使えるようになります。
※ただしメール送信するためには何かしらメールアカウントがOutlookに登録されてSMTP接続先が設定されていなければなれません。

そいうぃ意味ではOutlookをまったく使用していなければこのやり方は成立しないのですが、今後はある程度の方々が使われると思いますのでご紹介いたします。

Outlook.Applicationを使用する方法

このやり方については下記のMicrosoftドキュメントにVBAでのコーディング事例が掲載されていますが、下記のような注釈が書かれています。
※CDOの時とは少し内容が異なっています。

Microsoft は、例示のみを目的としてプログラミング例を提供しており、明示または黙示にかかわらず、いかなる責任も負わないものとします。

いまいま、たくさんのスパムメールが飛び交っている状況なのですが「悪意のあるプログラム」について触れない所に違和感を感じますが、それに触れだすといろいろなところに注釈が必要になり「収拾がつかなくなる」と考えてるのかもしれません…

Wordと Excel のデータを使用してメッセージを送信する VBA マクロ - Outlook

この記事では、Microsoft Word ドキュメントのデータと Microsoft Excel ブックを使用して Microsoft Outlook からメッセージを送信するV...

このサインプルではワークシート上のデータを読み込んでメールを送信する形になっているので、簡潔にしたコーディング事例をご紹介いたします。

コーディング事例

前回と同じように、「送信するメール自身の情報」はコンスタント変数にセットをしています。
※なお「送信先メールサーバーの情報」はOutlookに設定されている情報を使用するためいりません。

コンスタント変数	用途
MAILTO	宛先
SUBJECT	件名
BODY	本文

※MAILFROMの情報はOutlookに設定されている情報が読み込まれてセットされるので必要ありません。

OutlookのApplicationオブジェクトのCreateItemメソッドに指定できるパラメーターについては、次のMicrosoftドキュメントをご参照ください。
※今回はMailItemオブジェクトを使用します。

OlItemType 列挙 (Outlook)

Office VBA リファレンストピック

また本文の形式を設定するMailItemオブジェクトのBodyFormatプロパティについては「OlBodyFormat列挙」をご参照ください。

Sub outlookAppSend()
Const MAILTO As String = "...@to....jp" ' 宛先
Const SUBJECT As String = "VBA Send Mail Test"  '件名
Const BODY As String = "Hollow World!"  '本文
Const olMailItem  As Integer = 0  'MailItem オブジェクト
Const olFormatPlain As Integer = 1  '本文の形式:テキスト形式
Dim objOutlook As Object
Dim objMail As Object
Dim i As Integer
    Set objOutlook = CreateObject("Outlook.Application")
    Set objMail = objOutlook.CreateItem(olMailItem)
    With objMail
        .To = MAILTO
        .SUBJECT = SUBJECT
        .bodyformat = olFormatPlain
        .BODY = BODY
        .send
    End With
    Set objMail = Nothing
    Set objOutlook = Nothing
End Sub

WorkbookオブジェクトのSendMailメソッドを使用する方法

このやり方はコーディング量が一番少なく、VBAを実行している自分自身を添付ファイルにして宛先に送信します。

ただし次のような制約がかかっていて簡単にメールを送信できるわけではありませんので、あらかじめお含み置きください。

送信に必要な前提条件は次のようになります。

メール送信するためには何かしらメールアカウントがOutlookに登録されてSMTP接続先が設定されていなければなれません。
実行するとOutlookが次のようなポップアップを表示するので「許可」をクリックしないと送信できません。
「許可」するとOutlookの送信トレイに保存されます。この状態でOutlookを起動すると(Outlookの設定にもよるかもしれませんが)送信されます。
※Outlookが起動している場合は送信トレイに保存されたままになります。

コーディング事例

今回コンスタント変数にセットが必要なのは下記の2つだけになます。

コンスタント変数	用途
MAILTO	宛先
SUBJECT	件名

ActiveWorkbookオブジェクトのSendMailメソッドに指定できるパラメーターについては、次のMicrosoftドキュメントをご参照ください。

またAppicationオブジェクトのMailSystemプロパティのリンクはこちらです。
https://learn.microsoft.com/ja-jp/office/vba/api/excel.application.mailsystem

Workbook.SendMail メソッド (Excel)

Office VBA リファレンストピック

Sub WorkbookSendMail()
Const MAILTO As String = ".....@to.....jp"   ' 宛先
Const SUBJECT As String = "VBA Send Mail By Workbook SendMail"
    If IsNull(Application.MailSession) Then Application.MailLogon
    If Application.MailSystem = xlMAPI Then
        ActiveWorkbook.SendMail Recipients:=MAILTO, SUBJECT:=SUBJECT
    Else
        MsgBox "Can not send"
    End If
    Application.MailLogoff
End Sub

上記コーディング事例でApplicationオブジェクトのMialSessionプロパティを見て、値がセットされていない場合MailLogonメソッドを実行し最後にMailLogoffしていますが、この部分は無くても同じ動き方になります。

これにより前提条件に違いがあるか?確認したのですが、違いはありませんでした。

メール送信ではどこを確認すべきか?

コーディングを解析して、「何を送ろうとしているのか?」を知るべきだとは思いますが、まずは「誰にどのくらいのタイミングで送ろうとしているのか?」を最初に確認するべきだと思います。

誰は身内なら良いという訳ではなく、タイミングも1日1回だから安心という訳ではありません。

ただかなりな人数に頻繁に送信をしているのであれば「悪意がある」と判断できると思います。

まずはこれに調査対象を絞ったうえで、判断に迷うところがあれば「何を送ろうとしているか?」調べるのが必要な時間を短縮できるので良いと思います。

なおファイルを添付して送ろうとしている場合であれば、最初に「何を送ろうとしているか?」確認した方が良いかもしれません。

できる事ならFTP通信やメール送信はしないに越したことは無い

前回のHttp|s通信でも同じような事を書きましたが、無理にFTPで受信をしたりメール送信をしなくて済むように代替手段を設定する方が「悪意あるプログラム」というあらぬ疑いをかけられずに済むのではないでしょうか?

ただ現実としてFTPじゃないとデータを受け取れないとか、メールで知らせて欲しいとかの要望を受ける事があるのかもしれません。

FTPはプロトコルの制約なので他の手段に変える事は難しいですがメールは「プッシュ型の通知」と考えると、ユーザ情報を持ったメッセージをテーブルに書き込んでおいて、それを仕事で使用するログインが必要なWebページのどこかで、メッセージとして「情報を送り付ける事」ができるように仕組みを作っておけば良いのだと思います。

ただし、そのようなWebページが存在しない場合はメールが手っ取り早い事にはなりますが…