Chromeのみで、銀行サイトが危険と表示される理由
本レポートは、アンラボコリアより発表された内容を翻訳したものです。
----------------------------------------------------------------------------------------------
SHA-1からSHA-2への移行が必要
Google Chromeブラウザは、アドレスバーの左側に南京錠の形のアイコンが表示される。このアイコンは、ChromeとWebサイトが安全に接続されたかの有無を表すものであり、南京錠アイコンが緑色で表示されると、安全に接続されたという意味である。
しかし、最近、Chromeを利用して HSBC、JPモルガン・チェースのようなグローバル銀行サイトに接続すると、灰色の南京錠に黄色の三角が付いたアイコンが表示される。このアイコンは、接続したサイトのセキュリティレベルが「中」という意味である。Googleの説明によると、「サイトでSSLを使用しているが、Chromeがこのページで安全ではないコンテンツを発見した」と判断した際にこのアイコンが表示されるのだという。韓国内のほとんどの銀行サイトでも同様のアイコンが表示されるのが確認できる。

ここで、興味深いのは、Chrome以外のブラウザ(Internet explorer(IE)、Firefox、Safari)を利用してこれらのサイトにログインすると、安全を意味する緑色の南京錠アイコンが表示されるところである。
なぜ、Chromeでは、これらのサイトが安全でないと表示されるのだろうか。
理由は大きく分けて以下の2つである。
・ セキュリティ設定が古い。
・ 古い暗号化技術を使用している。
Chromeで三角型アイコンをクリックすると、関連内容を確認することができる。
セキュリティ設定が古い場合は、Webサイトの定期的な点検が必要になる。これより注目しなければならないのは、SHA-1という暗号化アルゴリズム(ハッシュ関数)である。SafeNetのパク・ジョンピル理事によると、ユーザーがWebブラウザを通じて特定のWebサイトに接続する際、当該サーバーが安全かどうかを確認するために「メッセージ認証(Message Authetication Code、MAC)」という技術が使用され、ここで「SHA-1」という暗号化アルゴリズムが使用される。
韓国国内外の銀行サイトは、確認した結果、大半がSHA-1を使用して暗号化を行っていた。しかし、1995年にアメリカ国家安全保障局(NSA)により開発され、現在まで使用されているSHA-1は、すでに安全な暗号化技術として評価されていない。アメリカ国立標準技術研究所(NIST)は、2010年より、SHA-2、SHA-3を使用することを推奨している。この方針に従い、Microsoft、Google、Mozillaなどの主要なWebブラウザメーカーは、2017年よりSHA-1を使用した認証を使用しない計画である。
SHA-1は、160bitのハッシュ値を出力する。そして、より安全だと評価されているSHA-2の場合は、256bit、 512bitのハッシュ値を出力する。開発・普及されてから既に20年が経過したSHA-1は、コンピュータ性能の向上により、暗号の解除にかかる時間と費用が大幅に減少している。アメリカのZdnetによると、暗号専門家であるJesse Walkerは、SHA-1認証システムの迂回にかかる費用は、2012年の200万ドルから、2015年には70万ドル、2018年には17万3千ドル、さらに2021年には 4万3千ドルに減少すると予想した。
何よりも大きい問題は、現在、全世界のWebサイトの90%以上が相変わらずSHA-1を利用しているところである。これに関連し、暗号化通信(SSL)ベンダーであるCertSimpleの共同創業者のMike MacCanaは、「次第に、アルゴリズムの新しい脆弱性が発見されており、より高速化したハードウェアがこのような脆弱性を利用した攻撃を容易化させている。」と指摘した。
Microsoft、Google、Mozilla、AppleなどのメーカーがSHA-1の問題点を認識しているが、この中でも最もSHA-1の廃止に積極的なのはGoogleである。
SHA-1を使用している銀行サイトがChromeで緑色の南京錠アイコンを表示させるのは難しいことではない。
SHA-1の代わりにSHA-2以上の暗号化アルゴリズムを適用するだけである。Mike MacCanaは、「大半の暗号化通信(SSL)技術会社が既存の認証書に対し、追加費用なしで新しいキーを発行してもらえるようにしている。」と述べた。