編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る

マイクロソフト、SHA-1廃止の前倒しに言及

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部

2015-11-10 11:10

 SHA-1証明書の脆弱性を突く攻撃手法が発見される可能性が高まっている。このような状況のなか、MicrosoftはSHA-1証明書のサポート終了日を2016年6月に前倒しする可能性について同社ブログで言及した。

 つまり最新のブラウザからは、SHA-1証明書を使用しているウェブサイトにアクセスできなくなる、あるいはアクセスしにくくなるということだ。

 同社で「Microsoft Edge」ブラウザチームのプログラムマネージャーを務めるKyle Pflug氏によると、「テレメトリデータ、およびSHA-1の衝突可能性に関する現時点での予測に基づき、他のブラウザベンダーと連携しながら、サポート終了日を前倒しにした場合の影響を評価する予定」だという。

 「Firefox」の開発元であるMozillaも10月、SHA-1証明書のサポートを2016年7月をもって終了する可能性について言及している。

 両社がSHA-1という暗号学的ハッシュアルゴリズムについて憂慮しているのには理由がある。SHA-1証明書は長年にわたって多くの暗号化されたウェブサイトで用いられてきているものの、2015年末までに衝突探索の手段が確立される恐れが出てきたためだ。そうなると、このアルゴリズムは実質的に無意味なものとなり、結果的に数多くのユーザーのセキュリティが弱体化する。

 10月に発表されたある調査結果では、諜報機関といった、十分なリソースを有する攻撃者が、2015年末までにSHA-1証明書に対する衝突探索攻撃を成功させる可能性について言及されている。つまり米国やロシア、中国、さらには資金力の豊富なハッカーであれば、一見するとセキュアに見える偽のウェブサイトを構築できるということになる。

 研究者らは少し前まで、SHA-1に対する衝突探索攻撃が可能になるのは少なくとも2年先だと考えていた。

 幸いなことに、暗号化されたウェブサイトのおよそ75%ではSHA-2という、より新しく、はるかに強力な暗号学的ハッシュアルゴリズムが採用されており、その割合は毎月増えている。

 認証局(CA)も2016年以降、SHA-1証明書の発行を終了し、SHA-2証明書に切り替えると発表している。

 ただ、旧式のソフトウェアやデバイス(基本的なモバイルインターネット機能しか有していないフィーチャーフォンを含む)をいまだに使用している発展途上国の多くのユーザーは、大きな壁にぶつかることになる。こうしたユーザーが使用しているブラウザやデバイスでは新しい、そしてよりセキュアなSHA-2証明書を認識できないのだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]