2015 年 10 月 8 日、国際的な暗号研究グループが、SHA-1 ハッシュ関数に対する有効な攻撃に著しい進化が見られると報告しました。SHA-1 は、TLS プロトコルや TLS 証明書の署名など多くの場面で使われています。業界全体がしばらく前に MD5 ハッシュアルゴリズムから移行して以来、あらゆる証明書で最も広く利用されているハッシュアルゴリズムです。
危険なのは、十分に高性能なコンピュータを使えば、攻撃者は SHA-1 ハッシュ関数に対する実効的な攻撃をしかけられるという点です。そうすると偽の証明書を作成できますが、この証明書はどんな特徴から考えても公的な認証局が署名したように見えます(暗号的に、認証局のルート証明書に結び付けられている)。研究者の試算によると、このような攻撃を実行するために必要な性能のコンピュータを入手するコストは 75,000 ドルから 12 万ドルほどだろうということです。最近はサイバー犯罪者の多くが強大になっていることを考えると、この金額はごく低いと言っていいでしょう。だからといって、Web サイトが今すぐに危険だということではありませんが、これが警鐘になることは間違いありません。
何年か前からシマンテックは、お客様の証明書について SHA-2 アルゴリズムへの移行を進めてきました(SHA-2 はこのような攻撃に対して脆弱ではないと研究者は指摘しています)。お客様の大多数は、すでに SHA-2 証明書への移行が済んでおり、今回発表があったような攻撃を受ける危険性はありません。
ただし、シマンテックの大手企業顧客のなかでも、アップグレードが必要な証明書は膨大な数にのぼるため、SHA-1 発行停止の期限までに SHA-2 への移行は完了しそうにないという報告が数社から上がっています。CA/Browser Forum が定めた期限は、2016 年 1 月 1 日です。そのようなお客様を考慮して、シマンテックは先日、発行要件を緩和して、発行停止の期限を 2017 年 1 月 1 日に延期するという投票を提案したところでした。しかし、これまで考えられていた以上にリスクが高いことが今回の新しい研究で詳しく報告されたので、その投票案は撤回しました。移行の完了が難しいお客様については、引き続き有効な代替案を検討していく予定です。
研究者は、全ユーザーが SHA-2 証明書への移行をできるだけ早く完了するよう提言しています。ほとんどのブラウザは、現時点の方針として 2017 年 1 月 1 日以降 SHA-1 の TLS 証明書をいっさい拒否すると定めていますが、今回の報告をふまえて、期限が前倒しになる可能性は高いかもしれません。まだ SHA-1 証明書をお使いの場合は、SHA-2 証明書への移行計画を急いだほうがいいでしょう。最新のブラウザでも、モバイルデバイスやデスクトップのオペレーティングシステムでも SHA-2 はサポートされているので、ほとんどどんな場合でも移行は簡単です。
シマンテックでは、以下の手順をお勧めしています。
- 現在の証明書で SHA-1 が使われているかどうか、無料の Symantec CryptoReport(https://cryptoreport.websecurity.symantec.com)で確認する。
- アカウントにログインして SHA-1 証明書があるかどうかを確認し、ある場合には SHA-256 に置き換える。シマンテックのお客様は、いつでも無償で証明書を移行できます。
- サーバーに新しい証明書をインストールし、CryptoReport でインストール状態を確認する。
何かお困りの点がある場合は、シマンテックの証明書と Complete Website Security 製品には、24 時間 365 日の技術サポートが含まれていますので、ぜひご利用ください。
【参考訳】