編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

「Google Chrome」、SHA-1証明書のサポートを2016年から段階的に終了へ

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-12-24 11:55

 Googleはウェブサイトの暗号化に用いられるアルゴリズム「SHA-1」にセキュリティ上の懸念があるとして、同社ウェブブラウザ「Chrome」でのSHA-1のサポートを2016年から段階的に終了する計画を発表した。

 このサポート終了は、大きく2段階に分けて実施される。まず、2016年初頭にリリース予定のChrome 48より、特定のSHA-1証明書(2016年1月1日以降に発行され、パブリック認証局にリンクされた証明書)を使用するウェブサイト上で、セキュリティに関するエラーメッセージが表示されるようになる。その後、遅くとも2017年1月1日までにChromeでのSHA-1のサポートが完全に終了し、以後は同証明書を使用するウェブサイトは、致命的なネットワークエラーを引き起こすことになる。Googleでは、現在進められている研究の結果次第で、SHA-1サポート終了の期限を2016年7月1日に前倒しすることを検討中だとしている。

 今回の計画により、GoogleはMicrosoftやMozillaと歩調を合わせることになる。最近、セキュリティに関する研究を協同で進めているオランダの国立情報工学・数学研究所(CWI)、フランスの国立情報学自動制御研究所(INRIA)、およびシンガポールの南洋理工大学(NTU)より、「SHA-1の暗号解読コストは従来の想定よりもはるかに低い」という憂慮すべき報告が上げられた。GoogleはSHA-1サポート終了を前倒しした理由として、これを挙げている。

 SHA-1は、ウェブサイトを暗号化するためのハッシュアルゴリズムだ。SHA-1のハッシュ長は160ビットだが、すでに多様なハッシュ長を実装したSHA-2や、さらに改良されたSHA-3などの新標準が登場している。現在、SHA-1はクレジットカードやネットバンキングなど多くの重要なトランザクションで利用されているが、前述の研究報告のとおりSHA-1の暗号解読コストが低いのであれば、SHA-1を標的としたサイバー攻撃が多発し、偽造証明書が大量に出回るのは時間の問題だということになる。

 なお、GoogleはSHA-1のサポート終了以外にもセキュリティに関する幾つかの大規模な方針転換を計画中だ。たとえば、TLS接続用のRC4暗号スイートもセキュリティ強度が低いとして、Chrome 48でサポートが終了される予定となっている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]