SSL暗号化通信で利用されるハッシュ関数「SHA-1」。このSHA-1を廃止するという米Microsoftの決定により、2016年1月以降、Webサイトによっては安全なアクセスができなくなる恐れがある。
2005年2月、世界的な暗号の権威であるBruce Schneier氏が「SHA-1 Broken」というブログ記事を投稿した。中国・山東大学のチームが、SHA-1への攻撃に成功したというのだ。ハッシュ関数のデファクトスタンダードとして広く利用されていたSHA-1が破られたことは、多くのエンジニアにとって驚異的なことだった。
こうした中、米国国立標準技術研究所(NIST)は、合衆国政府組織に対して2010年までに、より安全なハッシュ関数である「SHA-2」へ移行することを要請。その後、最長でも2013年末までにSHA-1の使用を停止することを勧告した。日本でも、内閣官房情報セキュリティセンター(NISC)が、最長で2019年までにSHA-1の使用を停止することを指針として提示している。
一方、民間においても重要な動きがあった。米Microsoftは2013年11月13日、「マイクロソフト ルート証明書プログラム」のポリシーを変更し、2016年1月1日以降SHA-1を新規に発行しないよう認証局に要請することを発表したのだ。将来的にはWebブラウザとして圧倒的なシェアを誇るInternet ExplorerからSHA-1を用いた証明書は削除され、SHA-2に対応していないWebサイトではSSL暗号化通信が不可能になる。
Microsoftのこのポリシー変更が、ユーザー企業にとってどういった影響を及ぼすのか。その詳細や対策を詳しく見ていこう。
提供:合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)
アイティメディア営業企画/制作:TechTarget編集部