4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止 | ScanNetSecurity
2022.08.13(土)

4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止

Webサイト閲覧のための証明書で使用する暗号アルゴリズム「TLS 1.0および1.1」の廃止が進んでおり、対応していないWebサイトは表示されなくなる可能性がある。

脆弱性と脅威 セキュリティホール・脆弱性
 「インターネットの通信は全て暗号化されている」

 ひょっとしたら、そう思っている人が意外に多いのではないだろうか。Web サイトの URL が「 http:// 」で始まっている場合、そのサイトとユーザの Web ブラウザ間の通信は暗号化されず、そのサイトで入力したテキストは平文のままインターネットを送られていく。もし、この通信を第三者が盗聴した場合、入力したテキストをそのまま知られてしまうことになる。

 そこで、銀行やショッピングサイトなどの個人情報やクレジットカード情報などを入力するサイトや Web ページは暗号化されている。その際の URL アドレスは、セキュリティを表す「 s 」が「 http 」の直後につけられた「 https:// 」で始まっており、第三者が盗聴しても内容は暗号化されているので情報が漏れる心配がない。このようなWebサイトは「 HTTPS 化」あるいは「 SSL 化」されているとも言う。

・http
・https : HTTPS 化、SSL 化

 http は Web サーバ( Web サイト)と Web ブラウザ間の通信に使用されるプロトコルであり、暗号化されている場合 https となる。SSL というのは、暗号アルゴリズムの種類だ。SSL は 1.0 から使用されたが、脆弱性が確認されたことで 2.0、3.0 とバージョンアップが繰り返し行われた。しかし、SSL 3.0 にも脆弱性が確認されたため、新たに TLS という規格が採用された。

 ところが、TLS 1.0 および 1.1 にも脆弱性が確認された。一定の条件下で暗号を解読される可能性がある。

 そこで、TLS 1.0 および 1.1 を無効化し、TLS 1.2 移行を採用する動きが進んでいる。マイクロソフトでは 2020 年 7 月に「 Edge Chromium 版」で TLS 1.0、1.1 を無効化しており、2021 年春には「 Internet Explorer 11 」と「 Microsoft Edge HTML 版」も無効化される。Google も 2020 年 7 月に公開した「 Chrome 84 」で無効化が行われた。他のブラウザメーカーも追従している。

 Web ブラウザが TLS 1.0 および 1.1 を無効化したことで、これらを証明書に使用している Web サイトが表示されなくなる可能性がある。Web サイトも同様に TLS 1.2 以降の証明書に差し替える必要があるわけだ。

 サイトの対応は早かった。たとえば Yahoo! Japan は本稿執筆時点から約 3 年前の 2018 年に TLS 1.2 への対応を終わらせている。

 つい先日、文部科学省がその公式サイトを 2021 年 3 月 31 日から「TLS1.0/1.1」による暗号化通信を無効化する予定であることを発表した。Yahoo! Japan と比較すれば随分と時間がかかったと言わざるを得ない。文科省のサイトには「 TLS1.2 に対応できていないブラウザ(パソコン、フィーチャーフォン、スマートフォン、タブレット)、並びに、 TLS1.2 を有効に設定していない端末等から、文部科学省ホームページに接続された場合、閲覧できない可能性があります」と案内されている。

 ただし、Webサイトに適用されているすべての証明書を把握し、それらをTLS 1.2に更新するのは相当な工数がかかる。別ドメインのサイトを複数運用しているケースもあるだろうし、官公庁ならではの手続きがあるかも知れない。事実、総務省や経済産業省など他の官公庁や自治体でTLS 1.2に移行したと発表されているのは特定のドメインに限定されている。

 なお、TLS 1.0 および 1.1 の無効化は、Web サイトだけでなくアプリケーションに適用されるケースもある。マイクロソフトは「 Microsoft 365 」での無効化を 2018 年 10 月に実施している。また、メールプロバイダも同様の対応を行っており、メールソフト側も設定の変更が必要になる。こちらは 2020 年から続々と実施されており、ソフトの設定変更をしていなかったユーザがメールを受信できなくなるケースも多発している。

 現在は、個人情報の入力に関係なく、Webサイトにあるページすべてを暗号化する「常時SSL(HTTPS)化」が推奨されている。TLSの最新バージョンは1.3だが、これらにも脆弱性が発見される可能性もある。

 それにもかかわらず、担当者は証明書を更新・適用する地道な作業を続けているのは、ユーザの安心・安全のためにほかならない。Webサイトを安心して利用できるのは、こうした人たちの努力に支えていることを意識の片隅にでも置いておきたい。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 社員名を詐称したメールを開封し添付ファイルを実行、従業員3名のパソコンがEmotetに感染

    社員名を詐称したメールを開封し添付ファイルを実行、従業員3名のパソコンがEmotetに感染

  2. GMOサイバーセキュリティ byイエラエがクレジットカード情報漏えい事故調査機関「PFI」に認定

    GMOサイバーセキュリティ byイエラエがクレジットカード情報漏えい事故調査機関「PFI」に認定

  3. 「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

    「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

  4. JR東日本グループ「VIEW’s NET」に不正ログイン被害

    JR東日本グループ「VIEW’s NET」に不正ログイン被害

  5. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  6. 複数の Qualcomm 製品に複数の脆弱性

    複数の Qualcomm 製品に複数の脆弱性

  7. 第2のCobalt Strikeか/韓国タクシー会社 迅速な身代金支払と事実公表/医療分野への攻撃が世界的傾向 ほか [Scan PREMIUM Monthly Executive Summary]

    第2のCobalt Strikeか/韓国タクシー会社 迅速な身代金支払と事実公表/医療分野への攻撃が世界的傾向 ほか [Scan PREMIUM Monthly Executive Summary]

  8. 小中学校の校務ネットワークにランサムウェア攻撃

    小中学校の校務ネットワークにランサムウェア攻撃

  9. よみがえる幽霊(Spectre)、Wasmサンドボックス回避 ほか ~ FFRI 鵜飼裕司の Black Hat USA 2022 注目セッション

    よみがえる幽霊(Spectre)、Wasmサンドボックス回避 ほか ~ FFRI 鵜飼裕司の Black Hat USA 2022 注目セッション

  10. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

    7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

ランキングをもっと見る