4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止 | ScanNetSecurity
2024.04.27(土)

4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止

Webサイト閲覧のための証明書で使用する暗号アルゴリズム「TLS 1.0および1.1」の廃止が進んでおり、対応していないWebサイトは表示されなくなる可能性がある。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
 「インターネットの通信は全て暗号化されている」

 ひょっとしたら、そう思っている人が意外に多いのではないだろうか。Web サイトの URL が「 http:// 」で始まっている場合、そのサイトとユーザの Web ブラウザ間の通信は暗号化されず、そのサイトで入力したテキストは平文のままインターネットを送られていく。もし、この通信を第三者が盗聴した場合、入力したテキストをそのまま知られてしまうことになる。

 そこで、銀行やショッピングサイトなどの個人情報やクレジットカード情報などを入力するサイトや Web ページは暗号化されている。その際の URL アドレスは、セキュリティを表す「 s 」が「 http 」の直後につけられた「 https:// 」で始まっており、第三者が盗聴しても内容は暗号化されているので情報が漏れる心配がない。このようなWebサイトは「 HTTPS 化」あるいは「 SSL 化」されているとも言う。

・http
・https : HTTPS 化、SSL 化

 http は Web サーバ( Web サイト)と Web ブラウザ間の通信に使用されるプロトコルであり、暗号化されている場合 https となる。SSL というのは、暗号アルゴリズムの種類だ。SSL は 1.0 から使用されたが、脆弱性が確認されたことで 2.0、3.0 とバージョンアップが繰り返し行われた。しかし、SSL 3.0 にも脆弱性が確認されたため、新たに TLS という規格が採用された。

 ところが、TLS 1.0 および 1.1 にも脆弱性が確認された。一定の条件下で暗号を解読される可能性がある。

 そこで、TLS 1.0 および 1.1 を無効化し、TLS 1.2 移行を採用する動きが進んでいる。マイクロソフトでは 2020 年 7 月に「 Edge Chromium 版」で TLS 1.0、1.1 を無効化しており、2021 年春には「 Internet Explorer 11 」と「 Microsoft Edge HTML 版」も無効化される。Google も 2020 年 7 月に公開した「 Chrome 84 」で無効化が行われた。他のブラウザメーカーも追従している。

 Web ブラウザが TLS 1.0 および 1.1 を無効化したことで、これらを証明書に使用している Web サイトが表示されなくなる可能性がある。Web サイトも同様に TLS 1.2 以降の証明書に差し替える必要があるわけだ。

 サイトの対応は早かった。たとえば Yahoo! Japan は本稿執筆時点から約 3 年前の 2018 年に TLS 1.2 への対応を終わらせている。

 つい先日、文部科学省がその公式サイトを 2021 年 3 月 31 日から「TLS1.0/1.1」による暗号化通信を無効化する予定であることを発表した。Yahoo! Japan と比較すれば随分と時間がかかったと言わざるを得ない。文科省のサイトには「 TLS1.2 に対応できていないブラウザ(パソコン、フィーチャーフォン、スマートフォン、タブレット)、並びに、 TLS1.2 を有効に設定していない端末等から、文部科学省ホームページに接続された場合、閲覧できない可能性があります」と案内されている。

 ただし、Webサイトに適用されているすべての証明書を把握し、それらをTLS 1.2に更新するのは相当な工数がかかる。別ドメインのサイトを複数運用しているケースもあるだろうし、官公庁ならではの手続きがあるかも知れない。事実、総務省や経済産業省など他の官公庁や自治体でTLS 1.2に移行したと発表されているのは特定のドメインに限定されている。

 なお、TLS 1.0 および 1.1 の無効化は、Web サイトだけでなくアプリケーションに適用されるケースもある。マイクロソフトは「 Microsoft 365 」での無効化を 2018 年 10 月に実施している。また、メールプロバイダも同様の対応を行っており、メールソフト側も設定の変更が必要になる。こちらは 2020 年から続々と実施されており、ソフトの設定変更をしていなかったユーザがメールを受信できなくなるケースも多発している。

 現在は、個人情報の入力に関係なく、Webサイトにあるページすべてを暗号化する「常時SSL(HTTPS)化」が推奨されている。TLSの最新バージョンは1.3だが、これらにも脆弱性が発見される可能性もある。

 それにもかかわらず、担当者は証明書を更新・適用する地道な作業を続けているのは、ユーザの安心・安全のためにほかならない。Webサイトを安心して利用できるのは、こうした人たちの努力に支えていることを意識の片隅にでも置いておきたい。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  4. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  7. Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

    Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

  8. 研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

    研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

  9. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  10. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP