5分で分かる、「SHA-1衝突攻撃」が騒がれているわけ:半径300メートルのIT(1/2 ページ)
報じられるやいなや、大きな注目を集めた「SHA-1衝突攻撃」のニュース。これは一体、どういうことなのでしょうか……。実はこのニュース、ネットを使う人にとって無縁ではないのです。
この記事は会員限定です。会員登録すると全てご覧いただけます。
個人的に、とても感慨深いニュースが飛び込んできました。それは、「グーグルが『SHA-1』の衝突を実際に成功させた」というもの。ITmedia エンタープライズのニュースでも報じられ、大きな注目を集めています。
これは一体、どういう話なのでしょうか? 実は読者の皆さんにとっても、意外と身近な話かもしれません。
「正しいファイル」であることをデジタル的に証明するには
まず、この「SHA-1」とは何かを簡単に解説しましょう。ひとまず、ここでは、「何かを入れるとルールに従って何かが出てくるハコ」と考えてみてください。実際には、この「SHA-1というハコ」は、デジタルデータを入れると、「160ビットの文字列が出てくる」ブラックボックスです。入れるデジタルデータは、1文字だろうが1万文字だろうが、出てくるのは160ビットという長さになります。
これが一体、何の役に立つのでしょうか。実はこのハコ、「データ改ざん防止の仕組み」として使えるのです。
このハコには、入れるデータが、たった1文字異なるだけで、出てくるものも大きく異なるという特徴があります。つまり、入力する何かを例えば「契約書」と考え、契約書に加えてこのハコから出てくる160ビットを一緒に相手に渡すと、受け取った相手が同じハコに契約書を入れた場合に、“改ざんされていなければ”、全く同じ特徴を備えた、160ビットが出てくるはずです。
よって、受け取った相手はこれが正しいファイルだと確認できる。これが「SHA-1」をデータ改ざん防止に使う仕組みです。このハコを「ハッシュ関数」、出てくる文字列を「ハッシュ値」と呼びます。実はこれ、Webブラウザに表示される「錠のマーク」でおなじみのセキュリティプロトコルである「SSL」で利用されるなど、インターネットやデジタル世界における大事な仕組みなのです。
関連記事
- 「半径300メートルのIT」記事一覧
SHA-1衝突攻撃がついに現実に、Google発表 90日後にコード公開
GoogleはSHA-1ハッシュが同じでコンテンツが異なる2つのPDFも公表した。90日後には、こうしたPDFを生成するためのコードを公開するとも予告している。
Google、2017年1月公開の「Chrome 56」でSHA-1対応を完全廃止
2017年1月末に安定版がリリース予定のWebブラウザ「Chrome 56」で、SHA-1を使った証明書のサポートを完全に打ち切る。
「SHA-1の廃止前倒しを」 専門家チームが提言
SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。
IEとEdge、7月からSHA-1証明書使用サイトの鍵アイコン消滅
7月にリリースされる「Windows 10 Anniversary Update」以降、EdgeとIEではSHA-1証明書を使ったWebサイトが安全とは見なされなくなる。
FirefoxのSHA-1廃止で一部ユーザーに障害、サポート復活
Mozillaは一部のユーザーがHTTPSのWebサイトにアクセスできなくなったことを受け、Firefoxの更新版を公開してSHA-1証明書のサポートを復活させた。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。