Generate digest
C_PICTURE ( $vPict1 ; $vPict2 )
C_BLOB ( $FirstBlob ; $SecondBlob )
READ PICTURE FILE ("c:\\myPhotos\\photo1.png")
If (OK=1)
READ PICTURE FILE ("マクロダイジェスト c:\\myPhotos\\photo2.png")
If (OK=1)
PICTURE TO BLOB ( $vPict1 ; $FirstBlob ;".png")
PICTURE TO BLOB ( $vPict2 ; $SecondBlob ;".png")
$MD5_1 := Generate digest ( $FirstBlob ;MD5 digest)
$MD5_2 := Generate digest ( $SecondBlob ;MD5 digest)
If ( $MD5_1 # $MD5_2 )
ALERT ("二つの画像は異なるものです")
Else
ALERT ("二つの画像は完全に同一のものです")
End if
End if
End if
$key1 := Generate digest ("The quick brown fox jumps over the lazy dog.";MD5 digest)
// $key1は"e4d909c290d0fb1ca068ffaddf22cbd0"
$key2 := マクロダイジェスト Generate digest ("The quick brown fox jumps over the lazy dog.";SHA1 digest)
// $key2は"408d94384216f890ff7a0c3528e8bed1e0b01621"
この例題ではパスワード "123"を使用する、4Dユーザーと合致しない "マクロダイジェスト admin"というユーザーのみを受け入れる場合を考えます:
//On REST Authentication database method
C_TEXT ( $1 ; $2 )
C_BOOLEAN ( $0 ; $3 )
//$1: ユーザー
//$2: パスワード
//$3: ダイジェストモード
If ( $1 ="admin")
If ( $3 )
$0 :=( $2 = Generate digest ("123";4D digest))
Else
$0 :=( $2 ="123")
End if
Else
$0 := False マクロダイジェスト
End if
脅威に関するダイジェスト: Officeドキュメントには危険がある(でも使うのはやめられない)
マクロは、攻撃者がOfficeドキュメントを武器化する最も単純な方法です。Officeアプリケーションは、VBA (Visual Basic for Applications)スクリプトを実行できる組み込みスクリプト エンジンを搭載しています。VBAスクリプトは、ユーザーが何も操作しなくても(ユーザーがマクロを有効にしていると仮定)、ドキュメントが開いたときに直ちに実行でき、システム上で悪意のあるコードを実行できます。ユーザーがマクロを有効にしていない場合はポップアップ ウィンドウが表示されて、クリックしてマクロを有効にするかどうかをユーザーに確認します。このポップアップは、Microsoft社が、マクロが引き起こすセキュリティ リスクを抑制するために追加したさまざまなセキュリティ メカニズムの1つです。Microsoft社はさらに、ファイル拡張子を強制的に変更します(マクロを含む新しいドキュメントには.docxではなく.docmが使用されます)。このような対策にもかかわらず、依然としてユーザーはこれらのファイルを開いてコンテンツを有効にしてしまいます。そのため、Emotetのような広範囲にわたって単純な方法でランサムウェアを拡散する攻撃とSofacyキャンペーンのような高度な攻撃の両方が、一般的な攻撃ベクトルとしてマクロを使い続けることができるのです。
この例を見てわかるように、攻撃者はソーシャル エンジニアリングを使用して、ドキュメント全体を表示するためにコンテンツを有効にするようにユーザーを説得し、Microsoft社によって追加されたセキュリティ メカニズムを無効にする操作をユーザーに行わせようとします。Sofacyの例では、攻撃者は単純にフォントの色を白にしているだけなので、ユーザーがマクロを有効にする前でもテキストは表示されているのですが、はっきりと見えないだけです。
マクロのような組み込み機能のほかに、OfficeドキュメントにはAdobe Flashファイルなどの外部オブジェクトを埋め込むこともできます。これらのオブジェクトは、適切なソフトウェアに渡されて処理されるので、そのソフトウェアの持つ脆弱性を悪用できます。たとえば、OfficeドキュメントのAdobe Flashコンテンツにその脆弱性を埋め込んで悪用することができます。攻撃者がこのような攻撃ベクトルを利用した例として、CVE-2018-4878があります。これは、Excelドキュメントに悪意のあるSWFファイルを埋め込むことによって悪用されたAdobe Flash Playerゼロデイです。これらのタイプの攻撃では、悪意のあるExcelに、Flashの脆弱性をトリガーして埋め込みのシェルコードを実行できるAdobe Flashコンテンツが埋め込まれています。
前述の例と同様に、悪意のあるOfficeドキュメントを利用して、数式エディタの脆弱性を悪用できます。この例がつい最近見つかっています。CVE-2017-11882が実際に悪用され、CVE-2018-0802などの悪用の先鞭をつけました。どちらも数式エディタの欠陥を悪用するもので、ユーザーがOfficeドキュメントを開くことによって、攻撃者がリモート コードを実行できるようになります。まだ実際に悪用された事例は見つかっていませんが、Unit 42の研究者は、Microsoft数式エディタのCVE-2018-0807やCVE-2018-0798などを同様に悪用する方法を特定しています。
Microsoft数式エディタはそれ自身のプロセス(eqnedt32.exe)として動作するので、EMETやWindows Defender Exploit GuardなどのMicrosoft Office固有の保護は、デフォルトでは効果がありません。なぜなら、それらが保護するのはMicrosoft Officeプロセス(winword.exeなど)のみだからです。
- Microsoft Wordドキュメントに、OLE2埋め込みリンク オブジェクトが埋め込まれています。
- このドキュメントを開くと、Wordプロセス(winword.exe)がリモート サーバに、悪意のあるスクリプトを含むHTAファイルを取得するHTTPリクエストを送信します。
- exeは次にCOMオブジェクトを通じてapplication/htaのファイル ハンドラを検索します。これにより、Microsoft HTAアプリケーション(mshta.exe)がロードされ、悪意のあるスクリプトを実行します。
この機能は、2017年9月にMicrosoft社がパッチを適用したMicrosoft Office/WordPadリモート コード実行(RCE)の脆弱性CVE-2017-0199を悪用する際に利用され、さらにOilRigキャンペーンのような複数のキャンペーンで使用されています。
攻撃者は、前述のOLEとHTAの悪用に加えて、MSHTMLを使用して"text/html" MIMEタイプのOLEオブジェクトも実行できます。これは、RTFドキュメントがInternet Explorerと同じ攻撃対象領域を露出していることを意味します。
攻撃者は、CVE-2018-8174として知られるこの論理的な脆弱性を利用して、任意のHTML/JavaScript/VBScriptを実行できます。この方法で実行されるコードは、Internet マクロダイジェスト Explorerから実行される他のコードと同様に、「サンドボックス化」(新しいプロセスを実行できない、ファイル システムに書き込めないなどの制限がある)されますが、この欠陥を使用することで、他の脆弱性(VBScriptエンジンのメモリ破損UAF脆弱性など)を利用してWordアプリケーション(winword.exe)のコンテキストで任意のコードを実行し、システムを制御できます。
パロアルトネットワークスのTraps Advanced Endpoint Protectionは、マルウェアやエクスプロイトといった脅威から保護するために、次に示すさまざまな脅威防御策を提供します。
2022年、市場参加者のインフレとの向き合い方──物価連動国債が語るインフレ懸念は年後半に天井も
マクロ経済 米国労働市場が引き締まり、Fedはインフレを一時的とみなさず
マクロ経済 インフレ警戒持続下での米超長期金利の異変
マクロ経済 政策による景気浮揚効果は一巡。長期金利上昇は限定
三井住友DSアセットマネジメント インフレは2022年後半に減速する可能性。米国の利上げペースは急速ではない
世界同時「エネルギー危機」とクレジット市場への影響
マクロ経済 本当に怖いのはデフレではなくインフレ
マクロダイジェスト マクロ経済 過剰貯蓄とリベンジ消費の行方。現預金の取り崩しは期待薄か
日本企業の業績は本当に好況なのか?
アフガン撤退、市場への影響は限定的
岐路に立つドル—ニクソンショック50年
FRBが緩和策をゆっくりと縮小すべき理由
経済活動再開の動きは速い
マクロ経済 米中による新冷戦構造の本格化でディスインフレ終焉へ
マクロ経済 世界経済の下振れリスクが高まるも、日本の輸出は回復基調を維持
J-MONEY誌最新号のご案内
J-MONEY 2022年4月号 2022年4月1日発行 【特集】「イールドアセット」最前線
マクロダイジェスト
お試し動画視聴を申し込む
月額33,000円〜
(15名様まで)で見放題
資料請求・無料お試し動画視聴
Excelセミナーオンラインは、
本当に業務で役立つExcel・VBA
のスキルを身に着けられる
オンライン学習サービスです。
講師紹介
株式会社すごい改善 代表取締役
吉田 拳
1975年、愛知県生まれ。東京外国語大学英米語学科卒業。
音楽業界でのアーティストマネージャー職、販売促進企画会社、 靴メーカー、ワインメーカーでの勤務を経て、 2010年に株式会社すごい改善を設立、代表取締役に就任。 会社員時代にExcelが使えず苦しんだ経験から、Excel専門の業務効率化の支援を行う。
経済産業省でのExcel研修依頼は50回以上のリピートを誇る。
著書の『たった1日で即戦力になるExcelの教科書』がシリーズ累計40万部突破。
こんな課題を解決します
- 経理、人事、営業事務、マーケティングの業務を効率化したい
- 新入社員にエクセルを身に着けてほしい
- 分析業務の時間短縮をしたい
- ムダな残業を減らしたい
- 従業員がマクロを活用できるようになってほしい
動画セミナーで
学ぶことのできる
Excelの極意
作業を
スピードアップする
様々なショートカット
Excelの全関数
400個超の中で
必要なのは
わずかその10%
その中でも誰もが
真っ先に確認すべき
「6大必須関数」と
その理由
データの管理や
整形に必須の
文字列操作、
日付関連関数
資料作成を瞬殺する
作業自動化エクセルの
作り方
ピボットテーブルへの
依存と多用は効率を
著しく落とすので厳禁!
関数集計シートでの
作表自動化をマスター
Excelと両輪で、
絶対に最低限
知っておかなければ
ならないデータ分析、
指標と経営数字の基本
Excel業務自動化をする
「マクロ」の
実践的活用法
複数シートをまたぐ
処理をする際の
VBAの書き方
複数の
エクセルファイルから
値を拾ってくる方法
2種類のカリキュラムをご用意!
Excelを仕事で使いこなす
100の極意マスター講座
- Excelの超基本~真っ先に知りたい6つの関数
(90分) - 売上データの集計・分析演習(60分)
- 条件付き書式、入力規則(60分)
- 日付関数、文字列操作関数(60分)
- マクロ、データベース形式とは何か(60分)
- ABC分析・パレート分析を題材にした演習
(60分)
ExcelマクロVBAセミナー初級編
- マクロの基本、セルの指定、繰り返し処理の
基本(90分) - 関数、条件分岐、シートの指定、実践演習
(60分) - 基本文型、変数の解説(60分)
- 各種演習(60分)
- 複数ファイルの連続処理演習(60分)
- 複数シートの連続処理演習(60分)
新入社員研修や、夏季研修など、
時期や期間もご希望に応じて
ご利用いただけます
若手研修に 大人数・短期間 で
経理・事務・分析業務の効率化に
いつも 参照するツール として
「Excelヘルプデスク」がおすすめです
一番大事なのは、
自分がやりたい処理を実現するための
「アイデア」や「作戦」、「考え方」の部分。
これが思いつかなければ、いくら関数や機能の
知識を増やしても解決できません。
でも、それが思いつかない…
相談できる相手もいない…
そんな時に、その作戦を一緒に考え、
解決まで導くサポート体制を用意しています。
「Excelヘルプデスク」なら
月額5万円 (税別) でExcel技術者に質問し放題!
反転学習型Excel研修サービス
も好評です!
「研修動画を提供しても見ない社員が多い」
そんなお声にお応えして、「反転学習型」のExcel研修をご提供しています。
「Excelセミナーオンライン」の動画で事前学習の上、研修当日はグループに分かれて実践的な演習問題を中心に学びます。
基本的な知識を学んでから研修を受けるので、インプット型の研修よりも圧倒的に短時間で、実践的なスキルが身に付きます。
という方には
Excelマクロの
受託開発・資料作成代行
Excelを使った分析レポートを
何時間もかけて作っている…
経営会議資料の集計作業に時間がかかり、
タイムリーに把握できない…
Excel作業自体から解放されたい!
もっとExcel集計作業を効率化したい!
という方には、
Excelマクロの受託開発や、
Excelを使ったレポート資料の作成代行を
承っております。
人事・経理のExcel業務時間を
大幅削減、残業から解放
経営数字を月初にタイムリーに
把握し、 事業成長を加速
資料作成の時間を減らし、
本質的な議論ができることで、
生産性が向上
省庁、学校法人、上場企業など様々な法人様にご活用いただいています
-->
10万円分の動画が月額定額で受け放題
Excelセミナーオンラインの
法人向けサービス
よくある質問
Excelヘルプデスクについて詳しく教えてください 業務の中で生じたExcelの疑問、問題点を解決する相談窓口としてご利用頂けます。
ご相談はメールまたはZoomにて承ります。回数制限はありません。
【ご利用料金】
基本料金:月額55,000円(税込)
※基本料金内で15名様まで利用可能
16名様以降は10名様ごとに22,000円追加
※利用期間中は「Excel・VBAセミナーオンライン版」もご利用頂けます。 オンライン版では効果測定はできますか? 50問の理解度チェックテスト(4択問題)を用意しております。 Excel動画セミナーの各社員の視聴状況は確認はできますか? 当システムでは各動画の8割を視聴した際に視聴済と判定されます。そのデータをご要望に応じて提供させて頂いております。 Excelセミナーオンラインの利用者、利用人数の途中変更は可能でしょうか。 随時変更頂けます。 Excelヘルプデスク利用中にExcelマクロ等の開発を依頼することは可能でしょうか。 可能です。ヘルプデスクご利用期間中は通常費用より割引させて頂いております。
”未来をつくる。みんなでつくる” 2022春季生活闘争
2022春季生活闘争がスタートした。2年連続でコロナ禍での闘いとなるが、今季は「未来をつくる。みんなでつくる。」をスローガンに「すべての組合が賃上げに取り組む」ことを高く掲げた。そこには、どんな課題認識があり、どんな思いが込められているのか。要求を組み立てる上で重視すべきポイントは何か。仁平章連合総合政策推進局長に聞いた。(2021年12月17日インタビュー)
ー闘争方針策定にあたって重視したことは?
まず、情勢をどう見るか。策定時は、「緊急事態宣言」が解除され、景気回復の兆しも見えていた。一方、産業・企業間のばらつきは依然として大きく、「統一的対応は困難」との考え方は根強くある。また、足下の状況だけで方針を決めていいのかという思いも強くあった。中長期の視点で情勢認識を行い、課題を共有しながら連合全体で2022春季生活闘争のベクトル合わせができないかと…。そこで、意識的に「この20年、日本はどうだったのか」という視点から幅広に情勢を捉え、「これからどうしていくべきなのか」という未来を見据えての課題を探ることにした。
日本だけが20年間賃金が上がっていない
ーでは、この20年、日本はどうだったのか?
賃金水準の国際比較を見ると、他国は上昇しているにもかかわらず、日本だけが1997年をピークに上がっていない。その結果、賃金水準(購買力平価換算した年平均賃金額)は先進9カ国の中で、8位となってしまっている(図1 賃金の国際比較)。
なぜ、日本の賃金は上がらなかったのか。マクロの生産性(就業者一人あたりGDP)は伸びているのに、実質賃金は1990年代半ば以降、下落・停滞し、両者の乖離が拡大している(図2 マクロの生産性と賃金のギャップ)。つまり、この20年、生産性向上に見合った適正な成果配分が行われてこなかったことが、その一因と言える。また、所得分布の変化を見ると、平均所得以下の低所得層が増え、中間層が減少し、所得格差が拡大している(図3 所得分布の中期的変化)。
こうした状況をコロナ禍が直撃した。家計への影響を「勤労世帯の家計収支」から見ると、将来不安、雇用不安、所得減少などから、消費を減らして貯蓄にまわす「生活防衛行動」がとられている。下位20%の低所得世帯では、特別定額給付金など社会保障給付の上乗せがあっても赤字基調は変わらず、消費を減らしている。
一方、労働市場では、2010年代を通して人手不足感が強まっていた。コロナ禍で一時的に余剰感が高まったものの、現在は再び不足に転じ、全産業で見れば人手不足基調が続いている(図4 雇用人員D.I.の推移)。人口減少社会において中長期的に労働力を確保するには、これまで以上に多様な人々が労働市場に参加し、活躍できる環境の整備が不可欠だ。また、人手不足を背景に、ハローワークの求人募集賃金はコロナ禍でも72職種中52職種で上昇している。労働市場の状況から見ても、賃金上昇が一つの流れになっていくことを認識しておく必要がある。
すべての組合が賃上げを要求する
ー2022春季生活闘争の特徴は?
スローガンは「未来をつくる。みんなでつくる。」。闘争方針の基本スタンスでは、「コロナ禍にあっても『働くことを軸とする安心社会』の実現に向けて、働く仲間が未来へ向けて一歩を踏み出そう」と投げかけた。
格差是正や分配構造の転換は、まさに20年来の課題だ。「コロナ禍だから、要求できなくても仕方ない」という姿勢に終始していては、解決への道筋は拓けない。経済成長や企業業績の後追いではなく、5年後、10年後の未来をどうつくっていくのかという視点から、未来の活力の原動力となる「人への投資」を求め、これを起点として経済の好循環を力強くまわしていく。この「未来づくり春闘」と言うべき中長期的な視点こそ、2022春季生活闘争の最大の特徴だ。
もう一つは、「すべての組合が賃上げに取り組む」こと。連合は、2014春季生活闘争から賃上げの流れを継続してきたが、賃上げ獲得組合は、2018年の2010組合をピークに減少している。これを反転させるには、まず、すべての組合が賃上げに取り組むことが必要だ。また、日本の賃金は、企業規模間、雇用形態間の格差が大きい。「格差がある中小企業だけ賃上げすればよい」という発想では、格差是正は進まない。みんなで要求し、獲得する。上げ幅だけでなく、水準に目を向ける。それが賃上げのカギとなる。
また、ジェンダーの視点から、コロナ禍でより深刻な影響を受けている女性や非正規雇用で働く人たちに焦点を当てた取り組みの強化も強く打ち出している。
ーコロナ禍が直撃した産業の仲間からの声は?
航空や鉄道、ホテル、飲食など、コロナ禍が直撃した産業で働く仲間の状況は大変厳しく、それぞれの構成組織と意見交換を行ってきた。
「雇用調整助成金などを活用して何とか雇用を維持しているが、手当や一時金は大幅に減少しており、組合員の生活は苦しい」「コロナ禍の長期化で借入金が積み上がり、経営は昨年以上に厳しい」という現状を伺ったが、2022春季生活闘争に対しては「連合には、すべての働く者のためにしっかりと賃上げの旗を振ってほしい」「目の前の状況が厳しいからこそ、将来の希望が持てる方針にしてほしい」との意見をいただいた。その思いを受けとめ、全体として未来へ向けて一歩踏み出すべきだと判断した。
ー所定内賃金で生活できる水準を確保する取り組み内容は?
①賃上げ、②働き方の改善、③政策・制度の取り組みを3本柱として、総合生活改善闘争として進めていく。
賃金要求では、所定内賃金重視を強く打ち出した。コロナ禍で時間外労働手当や一時金が減少した産業は多く、所定内賃金で生活できる水準確保の重要性が再認識されている。また、一時金を上げるより所定内賃金を上げたほうが、消費にまわる割合が高いというデータもある(図5 所得と消費の関係)。分配の歪みを是正し、消費回復・経済の好循環につなげるためにも、月例賃金にこだわった賃上げに取り組んでほしい。
政策・制度要求で重視するのは、経済・雇用対策だ。コロナ禍で支出された雇用調整助成金の累計は4・5兆円を超え、雇用保険財源がひっ迫している。2021年度補正予算で一般会計から2・2兆円繰り入れられることが決まっているが、政府の雇用政策に対する責任を明確にするためにも、国庫負担割合の本則回帰などの財政措置が必要不可欠である。2022年3月までの特例延長の財源を確保し、雇用対策に万全を期すよう引き続き求めていく。
そして、多様な働く仲間が集える「みんなの春闘」に取り組み、労働組合の意義や存在感をアピールし、集団的労使関係を広げていく。職場では、過半数代表制の運用適正化に向けた点検と組織強化・拡大を一体的に展開するとともに、曖昧な雇用で働く仲間を含め、すべての働く仲間をまもり・つなげる運動を進めていきたい。
据え置いてきた目標水準を引き上げ
ー要求目標は?
2022春季生活闘争も「賃金要求指標パッケージ」を示したが、「これまで以上に賃上げを社会全体に波及させるため、それぞれの産業における最大限の『底上げ』に取り組む」とし、目安は「賃上げ分2%程度、定期昇給相当分(賃金カーブ維持相当分)を含め4%程度」とした。注目してほしいのは、2年間据え置いてきた目標水準・最低到達水準の額を引き上げたことだ。直近の賃金実態に加え、連合リビングウェイジの4年ぶりの改定、地域別最低賃金の3%以上の引き上げ、所定内賃金で生活できる水準確保という考え方などを総合的に考慮した(図6 賃金要求指標パッケージ)。
中小企業の目安は、賃金カーブ維持分(4500円)確保を大前提に、総額1万500円以上とするとともに、定期昇給制度の確立の取り組み強化を盛り込んだ。有期・短時間・契約等で働く者の処遇改善に向けては、すべての労働者を対象とした企業内最低賃金協定の締結をめざし、その水準を1150円とした。男女間賃金格差については、男女別・年齢ごとの賃金分布を把握し、「見える化」(賃金プロット手法など)をはかるとともに、格差につながる要因を明らかにし、問題点の改善を進めていく。いずれも「働きの価値に見合った水準」という観点から要求を組み立ててほしい。 マクロダイジェスト
「すべての労働者の立場にたった働き方の改善」については、今季は特に過半数代表制の適正化、同一労働同一賃金、60歳以降の雇用確保、改正育児・介護休業法、テレワークの環境整備、治療と仕事の両立推進などへの対応を強化していきたい。
ー積極的な「人への投資」が好循環につながる政府は「3%の賃上げ」を期待するとしているが…。
労働条件の決定は労使自治が原則であり、政府の役割はあくまで賃上げができる環境の整備だ。そういう観点から、連合は、①中小企業の取引適正化、②看護・介護・保育の処遇改善を一過性のものとはせず継続的に取り組むこと、③男女間賃金格差の解消に向けた取り組みの強化と男女がともに働きやすい環境の整備を政府に求めている。
「成長が先か、分配が先か」という議論があるが、まず「成長しても分配されてこなかった」という事実に目を向けるべきだ。成長優先のアベノミクスの下で低賃金の不安定雇用が拡大した。コロナ禍からの回復局面において、雇用の劣化を伴うことがあってはならず、「底上げ」「格差是正」をより重視するべきである。
ー労使交渉のポイントは?
企業の付加価値分配を見ると、株主配当や経営者報酬に比べて労働者への還元は低迷している。生産性上昇に見合った賃上げをしてこなかったことが、現在の状況を招いている。このままでは、人材が流出し、企業自体の活動も立ち行かなくなる。マクロの視点からも、労働者への適正な分配、「人への投資」を積極的に行うことこそが、経済の好循環につながり、経済の自律的な回復に向けたカギになるということを強く訴えてほしい。「人への投資」は、賃上げをはじめとする労働条件だけでなく、広く人材育成や能力開発の観点も含まれる。日本のGDPに占める企業の能力開発費の割合は、主要先進国のわずか10分の1だ(図7 企業の能力開発費)。どのような「人への投資」が必要なのか、労使で議論を深めてほしい。
コメント