4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止 | ScanNetSecurity
2021.10.23(土)

4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止

Webサイト閲覧のための証明書で使用する暗号アルゴリズム「TLS 1.0および1.1」の廃止が進んでおり、対応していないWebサイトは表示されなくなる可能性がある。

脆弱性と脅威 セキュリティホール・脆弱性
 「インターネットの通信は全て暗号化されている」

 ひょっとしたら、そう思っている人が意外に多いのではないだろうか。Web サイトの URL が「 http:// 」で始まっている場合、そのサイトとユーザの Web ブラウザ間の通信は暗号化されず、そのサイトで入力したテキストは平文のままインターネットを送られていく。もし、この通信を第三者が盗聴した場合、入力したテキストをそのまま知られてしまうことになる。

 そこで、銀行やショッピングサイトなどの個人情報やクレジットカード情報などを入力するサイトや Web ページは暗号化されている。その際の URL アドレスは、セキュリティを表す「 s 」が「 http 」の直後につけられた「 https:// 」で始まっており、第三者が盗聴しても内容は暗号化されているので情報が漏れる心配がない。このようなWebサイトは「 HTTPS 化」あるいは「 SSL 化」されているとも言う。

・http
・https : HTTPS 化、SSL 化

 http は Web サーバ( Web サイト)と Web ブラウザ間の通信に使用されるプロトコルであり、暗号化されている場合 https となる。SSL というのは、暗号アルゴリズムの種類だ。SSL は 1.0 から使用されたが、脆弱性が確認されたことで 2.0、3.0 とバージョンアップが繰り返し行われた。しかし、SSL 3.0 にも脆弱性が確認されたため、新たに TLS という規格が採用された。

 ところが、TLS 1.0 および 1.1 にも脆弱性が確認された。一定の条件下で暗号を解読される可能性がある。

 そこで、TLS 1.0 および 1.1 を無効化し、TLS 1.2 移行を採用する動きが進んでいる。マイクロソフトでは 2020 年 7 月に「 Edge Chromium 版」で TLS 1.0、1.1 を無効化しており、2021 年春には「 Internet Explorer 11 」と「 Microsoft Edge HTML 版」も無効化される。Google も 2020 年 7 月に公開した「 Chrome 84 」で無効化が行われた。他のブラウザメーカーも追従している。

 Web ブラウザが TLS 1.0 および 1.1 を無効化したことで、これらを証明書に使用している Web サイトが表示されなくなる可能性がある。Web サイトも同様に TLS 1.2 以降の証明書に差し替える必要があるわけだ。

 サイトの対応は早かった。たとえば Yahoo! Japan は本稿執筆時点から約 3 年前の 2018 年に TLS 1.2 への対応を終わらせている。

 つい先日、文部科学省がその公式サイトを 2021 年 3 月 31 日から「TLS1.0/1.1」による暗号化通信を無効化する予定であることを発表した。Yahoo! Japan と比較すれば随分と時間がかかったと言わざるを得ない。文科省のサイトには「 TLS1.2 に対応できていないブラウザ(パソコン、フィーチャーフォン、スマートフォン、タブレット)、並びに、 TLS1.2 を有効に設定していない端末等から、文部科学省ホームページに接続された場合、閲覧できない可能性があります」と案内されている。

 ただし、Webサイトに適用されているすべての証明書を把握し、それらをTLS 1.2に更新するのは相当な工数がかかる。別ドメインのサイトを複数運用しているケースもあるだろうし、官公庁ならではの手続きがあるかも知れない。事実、総務省や経済産業省など他の官公庁や自治体でTLS 1.2に移行したと発表されているのは特定のドメインに限定されている。

 なお、TLS 1.0 および 1.1 の無効化は、Web サイトだけでなくアプリケーションに適用されるケースもある。マイクロソフトは「 Microsoft 365 」での無効化を 2018 年 10 月に実施している。また、メールプロバイダも同様の対応を行っており、メールソフト側も設定の変更が必要になる。こちらは 2020 年から続々と実施されており、ソフトの設定変更をしていなかったユーザがメールを受信できなくなるケースも多発している。

 現在は、個人情報の入力に関係なく、Webサイトにあるページすべてを暗号化する「常時SSL(HTTPS)化」が推奨されている。TLSの最新バージョンは1.3だが、これらにも脆弱性が発見される可能性もある。

 それにもかかわらず、担当者は証明書を更新・適用する地道な作業を続けているのは、ユーザの安心・安全のためにほかならない。Webサイトを安心して利用できるのは、こうした人たちの努力に支えていることを意識の片隅にでも置いておきたい。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. 若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

    若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

  2. オリンパス、米州での不正アクセスで一部データ流出の可能性

    オリンパス、米州での不正アクセスで一部データ流出の可能性

  3. 発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」

    発見した攻撃者を泳がせ・妨害し・諦めさせる ~ TEAM T5 の特筆すべき成功例「オペレーション:アイ アム トム」

  4. 「教科書レンタル詐欺」Amazonに1億7千万円の被害与えた36歳、洗練された詐欺スキーム

    「教科書レンタル詐欺」Amazonに1億7千万円の被害与えた36歳、洗練された詐欺スキーム

  5. 奈良県明日香村で個人情報が記載された文書を資源ごみに混入、盗難に遭い三重県名張市で投棄散乱

    奈良県明日香村で個人情報が記載された文書を資源ごみに混入、盗難に遭い三重県名張市で投棄散乱

  6. ワイヤー錠で固定実施済も、病院の超音波診断装置外付けHDD行方知れず

    ワイヤー錠で固定実施済も、病院の超音波診断装置外付けHDD行方知れず

  7. 水道局とパイプライン企業へのサイバー攻撃、制御システムで起こったインシデント2例追加

    水道局とパイプライン企業へのサイバー攻撃、制御システムで起こったインシデント2例追加

  8. proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

    proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

  9. 「サイバーセキュリティ・オンラインサミット 2021年(秋)」開催、編集長も講演

    「サイバーセキュリティ・オンラインサミット 2021年(秋)」開催、編集長も講演

  10. ウイルス感染で東亜電気がシステム障害、復旧するも社内情報の一部漏えい確認

    ウイルス感染で東亜電気がシステム障害、復旧するも社内情報の一部漏えい確認

ランキングをもっと見る