迫る期日と進まない移行……SHA-1の脆弱性放置の危険性 2ページ目

●SHA-1はどれくらい使われているのか

　現在のSHA-2による証明書の発行状況だが、グローバルサインが公開しているデータによると、世界全体では54％がSHA256になっており、北米やEUはともに60％以上となっており、移行は着実に進んでいるといえるが、日本は35％と低い。国内ではいまだに65％がSHA-1証明書を利用している。

　アジア平均でもSHA256が40％を超えているので、日本の移行率はグローバルで平均以下だ。なぜ日本はSHA-2への移行が進まないのだろうか。

　「やはり意識の問題が大きいと思います。大きなインシデントが発生しているわけではないので、必要性の認識や事業の優先度から多くの企業がSHA-1を使い続けているようです。また、証明書移行の準備や移行後の検証にそれなりの時間がかかるのも移行の障害になっていると思います。」（GMOグローバルサインプロダクトマーケティング部マネージャー近藤秀樹氏）

　移行のためにはどんなサーバーがどんな証明書を使っているかを把握する必要があり、移行時には一部のサービスを停止する可能性もある。また、移行したら既存のサービスやシステムに影響がないかを検証する必要もある。それなりに時間とコストがかかるので、いまのところ使えているなら急ぐ必要ないというところだろうか。

　ただ、移行が進まないのは企業や担当者の意識だけの問題ではないようだ。最近では組込み機器や制御システムもインターネットに接続され、Webアプリやクラウドと連携するシステムも存在する。これらの機器がSSL証明書にSHA-1しか対応していなかった場合、平均的なITシステムよりソフトの入れ替えや検証は困難な場合が多い。また、フィーチャーフォンやゲーム機のブラウザ機能も同様の傾向を持つ。

　スマートフォン全盛の時代だが、逆に現在フィーチャーフォンを使っている層ほど、従来からのモデルを長く持つ傾向が強いので、古いブラウザやメンテナンスがされていないアプリをすべてSHA-2対応にすることは難しい（近藤氏）。

●SHA-1が無効になれば対応せざるをえない

　では、このままSHA-1を使い続けるとどうなるのだろうか。目に見える影響は、まずWebサイトだ。正規に購入し有効期限も残っている証明書でも、ユーザーのブラウザに証明書のエラーや警告が表示されてしまう。金融機関や個人情報などを扱うサイトで、このような警告メッセージが表示されると、サイトやサービスの信頼性への影響は避けられない。また、その対応や説明に追われるなど余計なコストも発生するだろう。

　主なブラウザメーカーはSHA-2への移行ポリシーなどを公開しており、HTTPS接続において署名がSHA-1でされているものは、安全でないサイトとして警告を表示したり、エラーとしたりするようになるだろう。また、認証局側も順次SHA-1証明書の発行を停止していくはずだ。現行システムがSHA-1の署名にしか対応していないから、検証やリプレースが面倒だからと言っていられなくなる。