Threatpost - The First Stop For Security News

SHA-1はもはやこの先安全であるとは言い難いことが研究者らによって指摘されており、SHA-1を使用している業界では向こう数年かけて廃止またはSHA-2への移行が進められてきた。しかし、当初の想定よりもデッドラインの到達が早まる可能性が出てきた。

10月9日(米国時間)、Threatpostに掲載された記事「Practical SHA-1 Collision Attack Months Away|Threatpost|The first stop for security news」が、最近の研究の結果、従来予測していたよりも早いタイミングでより廉価にSHA-1への有効な攻撃が実現される可能性が出てきたことを伝えた。SHA-1はSSL証明書などで使われており、ブラウザベンダやSSL認証局などではすでに早期のSHA-2への移行に取りかかっている。

しかし、依然としてSHA-1が使われ続けているケースがあるほか、物理的にSHA-1からSHA-2へ移行することが難しいケースも存在すると見られている。攻撃に大量の計算リソースが必要な場合、現在ではクラウドサービスを短時間使用して大量のインスタンスを同時に実行するといったことが可能であるため、数年前に推測した時とは状況も変わってきている。