IPAテクニカルウォッチ　『暗号をめぐる最近の話題』に関するレポート

本ページの情報は2011年5月時点のものです。

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、最近SSL/TLS(*1)プロトコル等、一般ユーザーにも少なからず影響を与えるような、暗号に関する事故・事象が複数連続して発生していることを受け、関係者および一般ユーザーに対して注意を促すため、「暗号をめぐる最近の話題」と題して取りまとめ、技術レポート（IPA テクニカルウォッチ第2回）として公開しました。

概要

オンラインショッピング、インターネットバンキング、ネットトレード等のサービスでは、送信する情報を暗号化するため、および接続先のWebサーバが正当なものであるか確認するため、SSL/TLSプロトコルが利用されています。そして、そのようなサイトの「セキュリティ」の項目をみると、ほぼ例外なく「お客様の情報を守るために“SSLという暗号化技術” を採用」といった記載がされています。しかし、そのSSL/TLSプロトコルに関する事故が最近複数発生しており、一般ユーザーが被害を受ける恐れがあったことが判明しました。

報道によれば個人情報が悪用されるなどの深刻な被害には至っていないようですが、IPAではこれらの事故について深刻な事案と捉え、特に「Comodo社による不正SSLサーバ証明書(*2)発行」と「大手百貨店のWebサーバ設定ミス」について、公開されている情報から事故内容を分析し、事故からくみ取るべき教訓や対処法について取りまとめました。これには、認証局(*3)、Webサイト構築者、Webサイト運営者はもとより、一般ユーザーに対しての注意喚起を含んでいます。

また、暗号世代交代（暗号アルゴリズムの2010年問題）についての話題も、節目であった2010年が過ぎ、米国で新たな動きが見られました。本レポートでは、「改訂された暗号アルゴリズム移行方針SP800-131A」と「新たな米国政府標準ハッシュ関数策定（SHA-3コンペやDRAFT FIPS 180-4）」に関する最新情報についても取りまとめました。

レポートのダウンロード

• 『暗号をめぐる最近の話題』に関するレポート(PDF:491 KB)

テクニカルウォッチ概要のダウンロード

• テクニカルウォッチ概要全文(PDF:88 KB)

脚注

1. (*1)
   SSL/TLS：Secure Socket Layer/Transport Layer Security。 データの暗号化などを行い、インターネットを介してWebサイト（Webサーバ側）とブラウザ（クライアント側）間で安全な通信を行うための通信手順。
2. (*2)
   SSLサーバ証明書：SSL/TLSプロトコルで接続されるWebサーバの身元や当該サーバが利用する公開鍵情報等が正当であることを保証するために認証局が発行する証明書。
3. (*3)
   認証局：Webサーバの身元や当該サーバが利用する公開鍵情報等が正当であるかを審査し、SSLサーバ証明書を発行する業務を行う、信頼できる第三者機関。