「SHA-1」関連の最新 ニュース・レビュー・解説 記事 まとめ

クラスタ管理者を支援する機能を追加：
Google、Kubernetes1.29に対応した「Google Kubernetes Engine」の新機能を解説
Googleは「Kubernetes 1.29」に対応した「Google Kubernetes Engine」（GKE）の新機能を解説した。（2024/2/26）

コンピュータの性能向上で脆弱なSHA-1がますます危険に：
NISTが「SHA-1」の使用を2030年末までに停止すると発表　企業が今やるべきことは？
NISTは、ハッシュ関数「SHA-1」の使用を2030年12月31日までに完全に停止する。（2022/12/20）

幅広いソフトウェアリポジトリに簡単に統合できる：
急速に注目集める「SBOM」、Microsoftが生成ツールをOSS化　その機能とは？
Microsoftはソフトウェア部品表（SBOM）生成ツールをオープンソースとして公開した。ソフトウェアのサプライチェーンを管理でき、セキュリティ向上にも役立つ。（2022/7/28）

山市良のうぃんどうず日記（202）：
セキュリティチェックツール「Microsoft Baseline Security Analyzer（MBSA）」を継ぐものは？
以前、Microsoftは「Microsoft Baseline Security Analyzer（MBSA）」というセキュリティチェックツールを提供していました。最近、このツールの話題を聞かないと思っていたら、数年前（2018年ごろ）に提供を停止していたようです。Windows 10など、現在メインストリームまたは延長サポートフェーズのWindowsで利用可能な代替ツールをざっと調査してみました。（2021/3/10）

山市良のうぃんどうず日記（187）：
サポート終了しちゃったけど、Windows 7の新規インストールと最速更新（2020年7月版）
今回は「2020年1月14日」にサポートが終了したWindows 7を新規インストールし、最新状態にまで更新する手順を再確認してみました。約1年前にも同じことをしましたが、何か状況が変わっているかもしれません。（2020/9/2）

宮田健の「セキュリティの道も一歩から」（51）：
それでも枯れるまで待つ？ かつての常識をアップデートすべき理由
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は、常に新しい常識を基に「アップデートする」ということの重要性についてお話しします。（2020/7/31）

「Web会議セキュリティ」の傾向と対策【第1回】
Zoomなどの「Web会議」はなぜ危険か？　セキュリティ確保が難しい理由を解説
在宅勤務などのテレワークの広がりに伴い、Web会議ツールのセキュリティが重大な問題となっている。Web会議ツールのセキュリティ確保には幾つかの問題がある。どのような問題があるのか。（2020/7/9）

ピクシブ、脆弱なパスワードを登録不可に　“漏えいリスト”と照合
イラストSNS「pixiv」で、脆弱なパスワードが設定できない仕組みに。過去に他社サイトで漏えいしたパスワードのリストを活用している。（2020/1/28）

山市良のうぃんどうず日記（163）：
サポート終了直前だけど、Windows 7の新規インストールと最速更新（2019年9月版）
Windows 7の製品サポートが終了する「2020年1月14日」まで残り3カ月。こんな時期ですが、これからWindows 7を新規インストールし、最新状態にまで更新するとしたら、どれくらい時間がかかり、どの更新プログラムが必要となるのか、2019年9月時点で“最速”と考えられる方法で試してみました。今回は省略していますが、Windows Server 2008 R2にも適用できるはずです。（2019/10/9）

＠ITセキュリティセミナー：
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」
サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「＠ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。（2019/7/24）

「SHA-1証明書」の無効化を表明、Apple
Appleは「SHA-1で署名されたTLS証明書は、信頼できるものとは見なさない」と表明した。今後、SHA-1の証明書を使っているWebサイトは、主要なブラウザ全てでブロックされる。（2019/6/10）

その知識、ホントに正しい？ Windowsにまつわる都市伝説（132）：
「えっ！　Windows 7ってまだSHA-2に対応していなかったの？」「そんなばかな！」
2019年2月中旬に「3月12日にSHA-2署名をサポートするための重要な更新プログラムがWindows 7およびWindows Server 2008 R2向けにリリース」というニュースを見た人は多いと思います。安全性に問題があるSHA-1は使用せず、SHA-2に移行すべきです。しかし、Windows 7やWindows Server 2008 R2がSHA-2をこれまでサポートしていなかったのかというと、それは全くの誤解です。（2019/3/26）

セキュリティ・アディッショナルタイム（30）：
量子コンピュータ時代到来後に備え、今から耐量子コンピュータ暗号を開発する理由
DigiCertは2018年1月31日に開催した年次カンファレンスにおいて、Microsoft Researchらと共に進めている耐量子コンピュータ暗号研究の背景と状況を紹介した。（2019/2/27）

なぜ、宅ふぁいる便は「暗号化」していなかったのか
「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。（2019/2/22）

その知識、ホントに正しい？ Windowsにまつわる都市伝説（126：年末特別編）：
年末恒例、ゆくWindows、くるWindows［2018年版］――2019年にサポートが終了するのは？
平成最後の年末は、2018年の振り返りと2019年の展望で締めたいと思います。2017年末は筆者の別連載『うぃんどうず日記』でこのタイトル記事を書きましたが、今回はタイミング的にこちらで。（2018/12/27）

ドコモが「spモードケータイ」の一部でソフトウェア更新を呼びかけ　セキュリティ上の理由から
NTTドコモが、発売済みのspモード対応ケータイ（フィーチャーフォン）のソフトウェア更新を呼びかけている。一部サービスにおいて暗号化通信を「SHA-1」方式から「SHA-2」方式に移行することに伴うもので、最新ソフトウェアにしないと2019年1月以降に一部サービスが利用できなくなる。（2018/12/14）

IoTセキュリティ基礎解説：
組み込み技術者向けTLS1.3基礎解説（後編）：IoTでTLS1.3を活用すべき3つの理由
インターネット接続機器のセキュリティ技術として広く用いられているTLSの最新バージョン「TLS1.3」は、IoTデバイスを強く意識して標準化が進められた。本稿では、組み込み技術者向けにTLS1.3の基礎を解説する。後編では、TLS1.3の具体的な変更点について確認し、IoT時代における活用の可能性を考えてみる。（2018/10/10）

IoTセキュリティ基礎解説：
組み込み技術者向けTLS1.3基礎解説（前編）：まずはSSL/TLSについて知ろう
インターネット接続機器のセキュリティ技術として広く用いられているTLSの最新バージョン「TLS1.3」は、IoTデバイスを強く意識して標準化が進められた。本稿では、組み込み技術者向けにTLS1.3の基礎を解説する。前編ではまず、TLS1.3のベースとなる一般的な暗号化通信技術であるSSL/TLSについて説明する。（2018/9/18）

Trusted Firmware-Mをリリース：
PR：低消費電力で高性能なIoT特化型マイコン「PSoC 6」のセキュリティ機能がパワーアップ
サイプレス セミコンダクタは2018年2月26日（米国時間）、Arm PSAに準拠するTrusted Firmware-Mのサポートを表明するとともに、PSoC 6 MCUファミリのセキュリティ機能を使用するためのソフトウェアスイートを発表した。これにより、高度なセキュリティが要求されるWi-FiやLPWA対応IoT機器の開発がより簡単になる見込みだ。（2018/3/13）

2017年、ITmedia エンタープライズで最も読まれた記事は？　年間アクセスランキングベスト10
2017年もあと3日で終わり。今年もエンタープライズIT業界はさまざまな話題がありましたが、ITmedia エンタープライズで最も反響があったのは、どの記事だったのでしょうか？（2017/12/29）

実践 OSSデータベース移行プロジェクト（終）：
Oracle DatabaseとMySQLの機能の違いを比較表で理解する
本連載では、商用DBMSからOSSデータベースへの移行を検討する企業に向け、「MySQL」への移行プロジェクトで必要となる具体的なノウハウをお届けします。今回は、移行設計を実施するに当たり把握しておきたい、Oracle DatabaseとMySQLの機能の違いについて説明します。（2017/11/30）

Linux基本コマンドTips（160）：
【 sha1sum 】コマンド／【sha256sum 】コマンド――ダウンロードファイルを検証する
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、ダウンロードファイルを検証する「sha1sum」コマンドと「sha256sum」コマンドです。（2017/11/16）

他のWebブラウザも同様の措置
Chromeが中国の認証局WoSign証明書を無効化、Googleが不信感を持つ理由とは
「Google Chrome」は、中国の認証局WoSignが発行した証明書を信頼できる証明書としては扱わない方針にした。この決定に至ったいきさつと、WoSign認証局の証明書を使用中のユーザー企業が取るべき対策を解説する。（2017/10/12）

攻撃者のこれまでの手口とは
iPhoneのパスワード自動入力「iCloud キーチェーン」が安全とは言い切れない理由
iPhoneやMacのパスワード管理「iCloud キーチェーン」の過去のバージョンには脆弱性が存在した。攻撃者はどのようにデータを盗み取ることが可能だったのか。（2017/10/9）

不正が発覚した中国の認証局、Microsoftも無効化を通告
中国の認証局WoSignとStartComの証明書については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザで両社の証明書が通用しなくなる。（2017/8/10）

半径300メートルのIT：
あなたのスマホが使えなくなる日
あなたのスマホは大丈夫？（2017/7/11）

暗号技術の“宿命”
Googleが「SHA-1衝突攻撃」をついに実証、その無視できない影響とは？
多くのセキュリティ関係者が注目した、Googleによるハッシュアルゴリズム「SHA-1」の衝突攻撃の実証。この事実が意味することとは何か。Web担当者は何をすべきなのか。（2017/5/12）

SHA-1証明書、MicrosoftのEdgeとIE 11でも無効に
SHA-1証明書を使っているサイトはEdgeとIE 11では読み込まれなくなり、無効な証明書として警告が表示されるようになる。（2017/5/11）

超入門HTTPS：
第2回　HTTPSの詳細
最近ではWebサイトを常時HTTPS対応させることが多い。今回は、HTTPSプロトコルの詳細や証明書、HTTPS化対応の方法などについて解説する。（2017/4/13）

Cypress PSoC 6：
Cypress、低消費でより強固なセキュリティ実現
Cypress Semiconductor（サイプレス セミコンダクタ）は、IoT機器に向けたマイクロコントローラー（MCU）アーキテクチャ「PSoC 6」を発表した。デュアルCPUコア構成とし処理性能を向上しつつ、消費電力を抑えた。セキュリティ機能もハードウェアベースで実装した。（2017/3/27）

セキュリティ酒場放浪記（1）：
「おれたちは日本一のCSIRTになる！」――リクルートのCSIRT飲み会に潜入してみた
「サイバーセキュリティの世界において、重要な情報は全て飲み会で交換されている」、そんなウワサが本当なのかを確かめるべく、「セキュリティ飲み会」に潜入し、その実態を探る実験的企画。今回は「リクルートテクノロジーズ編」だ。（2017/3/23）

とにかく速いWordPress（17）：
WordPressのバージョンアップを自動化して、最新アップデートを正しく適用する方法
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、先日、WordPressの過去バージョンに存在した脆弱性によって多くのページ改ざん被害が発覚した事案を踏まえ、WordPressのバージョンアップを自動化して、最新のアップデートを「正しく」適用する方法を解説します。（2017/3/15）

IoT機器に特化した新PSoC：
Cypress、低消費でより強固なセキュリティ実現
Cypress Semiconductor（サイプレス セミコンダクタ）は、IoT機器に向けたマイクロコントローラ（MCU）アーキテクチャ「PSoC 6」を発表した。デュアルCPUコア構成とし処理性能を向上しつつ、消費電力を抑えた。セキュリティ機能もハードウェアベースで実装した。（2017/3/14）

セキュリティクラスタ まとめのまとめ 2017年2月版：
WordPressサイトが書き換えられまくり、SHA-1が衝突した2月
WordPressの脆弱性に「SHA-1」衝突。2017年の「サイバーセキュリティ月間」は波乱の幕開けとなったのでした。（2017/3/14）

マルウェアをクラスタリングし、可視化：
JPCERT/CC、マルウェア分類ツール「impfuzzy for Neo4j」を公開
JPCERTコーディネーションセンター（JPCERT/CC）が、セキュリティ担当者向けのマルウェア分類ツール「impfuzzy for Neo4j」を公開。マルウェアを素早く分類し、新種のマルウェアを抽出する作業の効率を向上できるという。（2017/3/13）

追われる社会人、追う小中学生という構図も：
サイバーセキュリティなくして東京2020大会なし　秋葉原で「サイバーコロッセオ×SECCON 2016」開催
総務省、SECCON実行委員会、日本ネットワークセキュリティ協会（JNSA）が主催する「サイバーコロッセオ×SECCON 2016」が開催。学生チーム、若手社会人チームの全24チームが昨今のセキュリティ動向を織り込んだ難題に挑んだ。（2017/3/10）

「Firefox 52」公開、非HTTPSページでの入力に警告　NPAPIプラグインは無効化
HTTPSで暗号化されていないページでユーザー名やパスワードを入力しようとすると、警告のポップアップが表示される。SliverlightやJavaなどのNPAPIプラグインは、Flashを除き、全て無効化された。（2017/3/9）

半径300メートルのIT：
5分で分かる、「SHA-1衝突攻撃」が騒がれているわけ
報じられるやいなや、大きな注目を集めた「SHA-1衝突攻撃」のニュース。これは一体、どういうことなのでしょうか……。実はこのニュース、ネットを使う人にとって無縁ではないのです。（2017/2/28）

SHA-1衝突攻撃がついに現実に、Google発表　90日後にコード公開
GoogleはSHA-1ハッシュが同じでコンテンツが異なる2つのPDFも公表した。90日後には、こうしたPDFを生成するためのコードを公開するとも予告している。（2017/2/24）

「iOS 10.1」と「iOS 10.2」では修正済み
一体なぜ？　数分で破られた「iOS 10」ローカルバックアップパスワードの脆弱性
2016年、「iOS 10」のパスワード照合システムに不備があり、ハッカーがローカルバックアップを容易に解読できてしまうという問題が発覚した。どうすればこの問題は防げたのだろうか。（2017/2/23）

「Chrome 56」の安定版リリース　リロードが28％高速化、HTTPでの警告を追加
Googleがデスクトップ版Chromeをバージョン56にアップデートした。特にFacebookで時間のかかっていたページのリロードが28％高速化し、Firefox 51と同様のHTTPページでの警告が追加された。（2017/1/27）

Pythonで始める機械学習入門（2）：
機械学習の現場で重宝する多機能WebエディタJupyter Notebookの基本的な使い方
最近流行の機械学習／Deep Learningを試してみたいという人のために、Pythonを使った機械学習について主要なライブラリ／ツールの使い方を中心に解説する連載。今回は、Jupyter Notebookの起動、停止、実行方法、マジックコマンド、ヘルプの使い方、Markdown形式でのテキスト入力、パスワード認証設定などを紹介する。（2017/1/13）

Tech TIPS：
Windowsで証明書にSHA-1が使われているかどうか確認する（GUI編）
2017年第1四半期には、古いハッシュアルゴリズム「SHA-1」を使った証明書のサポートが終了するという。そんな証明書をWindowsで見つける方法とは？（2016/11/24）

Tech TIPS：
【Windows 10対応】Windowsにインストールされている電子証明書を確認する（GUI編）
Windowsのシステムのあちこちで使われている電子証明書。インストール済みの証明書をWindows標準のGUIツールで簡単に確認するには？（2016/11/24）

Google、2017年1月公開の「Chrome 56」でSHA-1対応を完全廃止
2017年1月末に安定版がリリース予定のWebブラウザ「Chrome 56」で、SHA-1を使った証明書のサポートを完全に打ち切る。（2016/11/21）

主要なセキュリティニュースをピックアップ
“アンナ先輩”の「Mirai」がより凶悪に？　DDoS攻撃を約50倍に増幅する手口が判明
一国のインターネットをダウンさせるなど、引き続き猛威を振るうマルウェア「Mirai」。その攻撃を増幅する攻撃手法が判明し、警戒は怠れない状況だ。他のセキュリティ関連ニュースと合わせて最新動向を解説する。（2016/11/16）

米アダルトサイトで4億人強の情報流出、日本語ユーザーも65万人が被害
米Friend Finder Network傘下のアダルトサイトで4億を超すアカウント情報の流出が発覚した。日本語のユーザー約65万人の情報も含まれる。（2016/11/15）

中国の認証局が不正な証明書、主要ブラウザが無効化を通告
GoogleやFirefoxによると、WoSignは不正な証明書を発行していたことが判明。別の認証局のStartComを買収していたことも隠して「ブラウザコミュニティをあざむこうと画策した」とされる。（2016/11/2）

中小規模のシステムにも対応、SPARCベースのIaaSも開始：
オラクル、“Software in Silicon”を実装した「SPARC S7」製品群を投入
日本オラクルは、新プロセッサ「SPARC S7」と、SPARC S7搭載サーバ／アプライアンスを発表。100万円台のローエンド向けサーバも用意した。（2016/10/13）

インシデント発覚まで2年も
“史上最大規模の情報流出”で露呈したYahoo!の危ういセキュリティ体制
Yahoo!の史上最大規模の情報流出は広範囲に影響を及ぼしている。訴訟が起こされ、米証券取引委員会（SEC）の調査の可能性が浮上し、同社の侵害検知体制と対応策に疑問の声が上がっている。（2016/10/13）