編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

「Google Chrome」、SHA-1証明書のサポートを2016年から段階的に終了へ

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-12-24 11:55

 Googleはウェブサイトの暗号化に用いられるアルゴリズム「SHA-1」にセキュリティ上の懸念があるとして、同社ウェブブラウザ「Chrome」でのSHA-1のサポートを2016年から段階的に終了する計画を発表した。

 このサポート終了は、大きく2段階に分けて実施される。まず、2016年初頭にリリース予定のChrome 48より、特定のSHA-1証明書(2016年1月1日以降に発行され、パブリック認証局にリンクされた証明書)を使用するウェブサイト上で、セキュリティに関するエラーメッセージが表示されるようになる。その後、遅くとも2017年1月1日までにChromeでのSHA-1のサポートが完全に終了し、以後は同証明書を使用するウェブサイトは、致命的なネットワークエラーを引き起こすことになる。Googleでは、現在進められている研究の結果次第で、SHA-1サポート終了の期限を2016年7月1日に前倒しすることを検討中だとしている。

 今回の計画により、GoogleはMicrosoftやMozillaと歩調を合わせることになる。最近、セキュリティに関する研究を協同で進めているオランダの国立情報工学・数学研究所(CWI)、フランスの国立情報学自動制御研究所(INRIA)、およびシンガポールの南洋理工大学(NTU)より、「SHA-1の暗号解読コストは従来の想定よりもはるかに低い」という憂慮すべき報告が上げられた。GoogleはSHA-1サポート終了を前倒しした理由として、これを挙げている。

 SHA-1は、ウェブサイトを暗号化するためのハッシュアルゴリズムだ。SHA-1のハッシュ長は160ビットだが、すでに多様なハッシュ長を実装したSHA-2や、さらに改良されたSHA-3などの新標準が登場している。現在、SHA-1はクレジットカードやネットバンキングなど多くの重要なトランザクションで利用されているが、前述の研究報告のとおりSHA-1の暗号解読コストが低いのであれば、SHA-1を標的としたサイバー攻撃が多発し、偽造証明書が大量に出回るのは時間の問題だということになる。

 なお、GoogleはSHA-1のサポート終了以外にもセキュリティに関する幾つかの大規模な方針転換を計画中だ。たとえば、TLS接続用のRC4暗号スイートもセキュリティ強度が低いとして、Chrome 48でサポートが終了される予定となっている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]