「Google Chrome」、SHA-1証明書のサポートを2016年から段階的に終了へ

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2015-12-24 11:55

 Googleはウェブサイトの暗号化に用いられるアルゴリズム「SHA-1」にセキュリティ上の懸念があるとして、同社ウェブブラウザ「Chrome」でのSHA-1のサポートを2016年から段階的に終了する計画を発表した。

 このサポート終了は、大きく2段階に分けて実施される。まず、2016年初頭にリリース予定のChrome 48より、特定のSHA-1証明書(2016年1月1日以降に発行され、パブリック認証局にリンクされた証明書)を使用するウェブサイト上で、セキュリティに関するエラーメッセージが表示されるようになる。その後、遅くとも2017年1月1日までにChromeでのSHA-1のサポートが完全に終了し、以後は同証明書を使用するウェブサイトは、致命的なネットワークエラーを引き起こすことになる。Googleでは、現在進められている研究の結果次第で、SHA-1サポート終了の期限を2016年7月1日に前倒しすることを検討中だとしている。

 今回の計画により、GoogleはMicrosoftやMozillaと歩調を合わせることになる。最近、セキュリティに関する研究を協同で進めているオランダの国立情報工学・数学研究所(CWI)、フランスの国立情報学自動制御研究所(INRIA)、およびシンガポールの南洋理工大学(NTU)より、「SHA-1の暗号解読コストは従来の想定よりもはるかに低い」という憂慮すべき報告が上げられた。GoogleはSHA-1サポート終了を前倒しした理由として、これを挙げている。

 SHA-1は、ウェブサイトを暗号化するためのハッシュアルゴリズムだ。SHA-1のハッシュ長は160ビットだが、すでに多様なハッシュ長を実装したSHA-2や、さらに改良されたSHA-3などの新標準が登場している。現在、SHA-1はクレジットカードやネットバンキングなど多くの重要なトランザクションで利用されているが、前述の研究報告のとおりSHA-1の暗号解読コストが低いのであれば、SHA-1を標的としたサイバー攻撃が多発し、偽造証明書が大量に出回るのは時間の問題だということになる。

 なお、GoogleはSHA-1のサポート終了以外にもセキュリティに関する幾つかの大規模な方針転換を計画中だ。たとえば、TLS接続用のRC4暗号スイートもセキュリティ強度が低いとして、Chrome 48でサポートが終了される予定となっている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  2. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  5. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]