全2024文字
PR

 フィッシング対策の業界団体であるフィッシング対策協議会は2020年3月末、Webブラウザーのセキュリティー強化が進んでいることを受けて、Webサイトの管理者に対策するよう呼びかけた。安全性の高い通信を実現する「TLS」の古いバージョン「1.0/1.1」にしか対応していないWebサイトに最新のWebブラウザーを使ってアクセスすると、Webブラウザーの画面全体に警告が表示されるようになっているからだ。

Firefoxの警告画面例
Firefoxの警告画面例
(出所:フィッシング対策協議会)
[画像のクリックで拡大表示]

 新型コロナウイルスの影響でTLS 1.0/1.1の無効化を遅らせているWebブラウザーベンダーもある。だが、あくまでも一時的な措置だとして、ベンダー各社はできるだけ早くTLS 1.2に対応するようサイト管理者に推奨している。

1年以上前から無効化を告知

 TLSは通信相手を認証するとともに通信内容を暗号化する技術である。主要なWebブラウザーおよび多くのWebサイトが対応している。

 現時点でのTLSの最新バージョンは2018年3月に規定されたTLS 1.3。現在最も広く使われているのは、10年以上前の2008年8月に規定されたTLS 1.2である。

 古いバージョンのTLS 1.0とTLS 1.1にはセキュリティー上の弱点がある。セキュリティー組織やWebブラウザーベンダーなどは使用しないよう呼びかけてきた。

 そして2018年10月、主要なWebブラウザーベンダーは2020年3月以降にTLS 1.0/1.1を無効にすると発表した。サイト管理者に対して、TLS 1.2に対応するよう促したわけだ。

 TLS 1.0/1.1が無効にされた場合、これらにしか対応していないWebサイトにアクセスすると「安全な接続ができない」といった文字がWebブラウザーの画面全体に表示されるようになる。

 当初、主要ブラウザーでTLS 1.0/1.1が無効化されるタイミングは以下のように予定されていた。

TLS 1.0/1.1が無効化されるタイミング
(出所:フィッシング対策協議会)
Webブラウザーの種類無効化のタイミング
Chrome2020年1月13日からChrome 79以降でTLS 1.0/1.1の接続時に警告を表示。2020年3月リリース予定のChrome 81以降ではTLS 1.0/1.1の接続を無効にして「接続が安全ではない」のような旨を示す画面を表示
Firefox2020年3月リリース予定のFirefox 74からTLS 1.0/1.1の接続を無効にして「安全な接続ができませんでした」のような旨を示す画面を表示
Internet Explorer/Edge2020年前半にTLS 1.0/1.1を無効化
Safari2020 年3月リリース予定のSafari 13からTLS 1.0/1.1の接続を無効にして「このページは表示できません」のような旨を示す画面を表示