質問

Advanced Search

Alert ID : ALERT1916

Last Modified : 08/31/2018

ハッシュアルゴリズムSHA-1の安全性低下に関する続報とSHA-2対応版コードサイニング証明書への切替に関するご案内

INFORMATION

Description

2015年10月21日

お客様各位

合同会社シマンテック・ウェブサイトセキュリティ


ハッシュアルゴリズムSHA-1の安全性低下に関する続報とSHA-2対応版コードサイニング証明書への切替に関するご案内
 

平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

2015年10月8日(米国時間)、複数の研究者によって、ハッシュアルゴリズムSHA-1に対する攻撃がこれまで想定されていたより少ないコストで実行可能になるという主旨の報告が発表されました。これにより、悪意を持った第三者(攻撃者)によってSHA-1を用いた偽のデジタル署名が生成され、各種クライアント端末によって正当な証明書とみなされるコードサイニング証明書が偽造されるリスクが高まると考えられます。

お客様におかれましては、SHA-1を用いたコードサイニング証明書をご利用中の場合には、SHA-2対応版への切替をご検討いただくことを、強く推奨申し上げます。

※マイクロソフト社のセキュリティアドバイザリにおけるSHA-1の利用期限に変更はございませんが、この発表を受けて、SHA-1を用いたコードサイニング証明書に対するクライアント端末での警告などの適用スケジュールが変更される可能性がございます。
※既にSHA-2対応版をご利用中のお客様は切替の必要はございません。
※現時点におきましては、SHA-1版コードサイニング証明書のご提供スケジュールに変更はございません。(下記参照)

弊社では、引続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。


■SHA-1ハッシュアルゴリズムの安全性低下に関するご参考情報

 シマンテック Enterprise Security Blog
 Update on SHA-1 Based On New Research」(英語)
 http://www.symantec.com/connect/blogs/update-sha-1-based-new-research

 SHA-1ハッシュアルゴリズムの安全性低下に関するレポート原文(英語)
 RESEARCHERS URGE: INDUSTRY STANDARD SHA-1 SHOULD BE RETRACTED SOONER
 https://docs.google.com/viewer?url=https%3A%2F%2Fsites.google.com%2Fsite%2Fitstheshappening%2Fshappening_PR.pdf%3Fattredirects%3D0

■マイクロソフト社 セキュリティアドバイザリ
 Windows Enforcement of Authenticode Code Signing and Timestamping
 http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx

■弊社のSHA-1版の電子証明書製品のご提供スケジュール
 2015年5月29日 SHA-1版の証明書製品のご提供終了スケジュールに関するご案内
  id=ALERT1829

■(ご参考)SHA-2移行に関する情報提供
 SHA-1からSHA-2への移行に関して
 http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition


本件に関するお問合せ先

   合同会社シマンテック・ウェブサイトセキュリティ テクニカルサポート
   Email: auth_support_japan@digicert.com
   電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)
   (平日9時30分~17時30分、ただし祝祭日および年末年始を除く)

以上

----------------------------------------------------------------------
発行 : 合同会社シマンテック・ウェブサイトセキュリティ
----------------------------------------------------------------------