ランサムウェアのニュースが流れていますが、最近はセキュリティリスクが以前よりも高まっています。悪用する人間が稼げているのが問題ですが、被害額も大きいそうです。


特にランサムウェアの場合は、身代金を要求してきますが、可能な限り、応じないのが望ましいです。そのお金が結局、ハッカーたちの資金源になりますからね。


最近では、素人でも簡単にマルウェアを作れるようなので怖い時代になりました。


さて、ハッシュ方式で脆弱性が言われている「SHA-1」ですが、ついにマイクロソフトも対応することになったようです。


元ネタはこちら。
「IE」や「Edge」でも「SHA-1」利用サイトの読み込みをブロック - 警告を表示


記事によると、Microsoftは、同社ブラウザにおいて、「SHA-1」を用いたSSL/TLS証明書への対応を中止したそうで、当初2月の月例更新で対応を予定していたが、3カ月遅れでの実施となったとのこと。
同社は5月の月例更新で「Internet Explorer」および「Microsoft Edge」向けに更新プログラムをリリース。ハッシュアルゴリズム「SHA-1」をもとに作成されたパブリックサーバ証明書への対応を中止した。

両ブラウザでは、「SHA-1」証明書を利用するサイトへアクセスした際に読み込みを制限。無効な証明書が用いられているとして警告を表示する。

対象は、マイクロソフトの信頼されたルート証明書プログラムのルートにチェーンされたSHA-1証明書としており、自己署名証明書は影響を受けないとしている。

ちょっと注意なのが、事故証明書は対象外というところくらいでしょうか。以前、GoogleがSHA-1の脆弱性についてPDFファイルを使った検証結果を発表していましたが、業界団体では、同アルゴリズムを用いたSSL/TLSサーバ証明書を安全と見なさず、利用を廃止する方針を打ち出し、すでに公的な認証局では「SHA-1証明書」の発行を中止しているとのこと。
ブラウザ側も閲覧時に警告やエラーが表示するなど対応を進め、Googleでは1月にリリースされた「Chrome 56」、Mozillaも同じく1月にリリースした「Firefox 51」で対応。Microsoftは、当初2月の月例更新で対応する予定としていたが、計画を変更し、2017年中盤へと延期していた。

「コリジョン攻撃」に関しては、2月にGoogleの研究者が、衝突攻撃「SHAttered」を発表。同じ「SHA-1」ハッシュ値を持つファイルの生成に成功している。

公開サーバを運営している場合は、そろそろ本気で対応したほうがよさそうですね。