SHA-1証明書の脆弱性を突く攻撃手法が発見される可能性が高まっている。このような状況のなか、MicrosoftはSHA-1証明書のサポート終了日を2016年6月に前倒しする可能性について同社ブログで言及した。
つまり最新のブラウザからは、SHA-1証明書を使用しているウェブサイトにアクセスできなくなる、あるいはアクセスしにくくなるということだ。
- TechRepublic Japanオススメ記事
- アンチウイルスソフトは死んだのか--セキュリティベンダー座談会(1)
- AWS一強時代でも強さを発揮するマイクロソフト--そのクラウド戦略とは
- テープは死なず--ディスクより長生きするという説も
同社で「Microsoft Edge」ブラウザチームのプログラムマネージャーを務めるKyle Pflug氏によると、「テレメトリデータ、およびSHA-1の衝突可能性に関する現時点での予測に基づき、他のブラウザベンダーと連携しながら、サポート終了日を前倒しにした場合の影響を評価する予定」だという。
「Firefox」の開発元であるMozillaも10月、SHA-1証明書のサポートを2016年7月をもって終了する可能性について言及している。
両社がSHA-1という暗号学的ハッシュアルゴリズムについて憂慮しているのには理由がある。SHA-1証明書は長年にわたって多くの暗号化されたウェブサイトで用いられてきているものの、2015年末までに衝突探索の手段が確立される恐れが出てきたためだ。そうなると、このアルゴリズムは実質的に無意味なものとなり、結果的に数多くのユーザーのセキュリティが弱体化する。
10月に発表されたある調査結果では、諜報機関といった、十分なリソースを有する攻撃者が、2015年末までにSHA-1証明書に対する衝突探索攻撃を成功させる可能性について言及されている。つまり米国やロシア、中国、さらには資金力の豊富なハッカーであれば、一見するとセキュアに見える偽のウェブサイトを構築できるということになる。
研究者らは少し前まで、SHA-1に対する衝突探索攻撃が可能になるのは少なくとも2年先だと考えていた。
幸いなことに、暗号化されたウェブサイトのおよそ75%ではSHA-2という、より新しく、はるかに強力な暗号学的ハッシュアルゴリズムが採用されており、その割合は毎月増えている。
認証局(CA)も2016年以降、SHA-1証明書の発行を終了し、SHA-2証明書に切り替えると発表している。
ただ、旧式のソフトウェアやデバイス(基本的なモバイルインターネット機能しか有していないフィーチャーフォンを含む)をいまだに使用している発展途上国の多くのユーザーは、大きな壁にぶつかることになる。こうしたユーザーが使用しているブラウザやデバイスでは新しい、そしてよりセキュアなSHA-2証明書を認識できないのだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。