質問

Advanced Search

Alert ID : ALERT2212

Last Modified : 10/11/2018

ハッシュアルゴリズムSHA-1衝突攻撃に関する報道と弊社証明書製品への影響について

INFORMATION

Description

2017年 2月24日

お客様各位

合同会社シマンテック・ウェブサイトセキュリティ


ハッシュアルゴリズムSHA-1衝突攻撃に関する報道と弊社証明書製品への影響について


平素より弊社製品の販売支援をいただき、誠にありがとうございます。

2017年2月23日(米国時間)、オランダの研究機関CWIおよびGoogle Research等の共同研究の報告書により、SHA-1の衝突攻撃が可能である旨の発表がありました。これにより、SHA-1版の証明書製品をご利用中のお客様において、悪意を持った第三者(攻撃者)により偽のデジタル署名が生成されるなどのリスクが高まると考えられます。
SHA-1を用いた一部証明書製品をご利用中の場合には、SHA-2対応版への切替をご検討いただくことを強く推奨いたします。
 
尚、既にSHA-2対応版をご利用中のお客様は対応いただく必要はございません。

詳細につきましては下記をご参照ください。

弊社では引き続きサービスの向上に努めて参りますので、今後ともご愛顧を賜りますよう、お願い申し上げます。



1. 発表の概要


2017年2月23日(米国時間)、オランダの研究機関CWIおよびGoogle Research等の共同研究の報告書により、SHA-1の衝突攻撃が可能である旨の発表がありました。
これにより、SHA-1版の証明書製品をご利用中のお客様において、悪意を持った第三者(攻撃者)により偽のデジタル署名が生成されるなどのリスクが高まると考えられます。

 [研究報告サイト SHATTERED(英語)]
 https://shattered.it/

 [Google社による発表原文(英語)]
 https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

当社ではハッシュアルゴリズムSHA-2への対応を国内で初めて提供開始するなど、SHA-1の利用停止にともなう安全な暗号アルゴリズムへの移行を推進しておりますが、お客様がハッシュアルゴリズムSHA-1を用いた証明書製品などをご利用中の場合、SHA-2などより安全なアルゴリズムへの対応と切替を検討いただくことを、強く推奨申し上げます。


2. 弊社証明書製品への影響


以下の弊社一部製品において、古い端末からのアクセスやサーバアプリケーションが古いOSでのみ動作するなどの理由で、ハッシュアルゴリズムSHA-1の証明書製品をご利用中の場合、セキュリティのリスクが増大したことになります。
SHA-2対応版への切替をご検討いただくことを強く推奨いたします。

シマンテック ストアフロントでご利用いただける各証明書製品のSHA-2対応版への切替方法は以下の通りご案内申し上げます。

  • SSLサーバ証明書

現在有効なSSLサーバ証明書はすべてSHA-2対応版となっておりますので、切り替えは不要です。

  • コードサイニング証明書(EV コードサイニング証明書を除く)

ハッシュアルゴリズムSHA-1を利用した有効な証明書をご利用中の場合は、再発行(無償)によりSHA-2対応版への切替をご検討いただくことを、強く推奨申し上げます。

[FAQ] コードサイニング証明書 User Portalから「再発行」申請の方法
id=SO22910

  • セキュア・メールID

ハッシュアルゴリズムSHA-1を利用した有効な証明書をご利用中の場合は、新規/更新の申請時にSHA-2版へ切り替えていただくことをご検討ください。
発行日より30日以上経過している場合は再申請(無償)ができませんのでご注意ください。


3. 当件に関する今後のアップデート


当件に関する今後のアップデートは、以下弊社ナレッジベースに掲載いたします。
 
ハッシュアルゴリズムSHA-1衝突攻撃に関する報道と弊社証明書製品への影響について
id=ALERT2212


4.本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ テクニカルサポート
Email: server_info_jp@digicert.com
電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)
(平日9時30分~17時30分、ただし祝祭日および年末年始を除く)

以上

----------------------------------------------------------------------------------
発行 : 合同会社シマンテック・ウェブサイトセキュリティ
----------------------------------------------------------------------------------