Windows XPでYahooにアクセスできなくなる!?

現在、Yahoo!にXPパソコンで接続すると「もうじきほとんどのサービスが使えなくなる」という注意書きを目にする。10月から12月にかけて「セキュリティ関連の改良が施される」のだそうだ。何の対策が行われるのかという詳しい説明はない。

もう少し調べてみると、Yahoo!が SHA-1証明書をSHA-2証明書に切り替えるのだということが分かった。7月頃まではYahoo!もこのように説明していたのだそうだ。この説明が正しければ、XPがSP3になっていれば、従来通り接続ができるのだということになる。Yahoo!がなぜ説明を変えたのかは分かっていない。「この機会にXPを排除してしまうのだろう」という人もいれば「とりあえず、大丈夫だ」という人もいる。

中にはYahoo!さえ使わなければ大丈夫だという人もいる。ところが、話はそれほど簡単ではないようだ。もともとこの話はSHA-1証明書の暗号が破られることがわかったところから始まる。これを危胎化というそうだ。SHA-1はアメリカの国立標準技術研究所(NIST)で1995年に作られたのだそうだが、2005年に「このように計算すれば、いずれは破られるだろう」というアルゴリズムが開発された。(JPNIC)そこでNISTは2010年にSHA-1の使用を停止するべきだという勧告を出した。

そのために、MicrosoftとGoogleが「自社製品は今後 SHA-1を信頼しない事にする」と決めた。これを受けてシマンテックなどの証明書発行機関が、2015年限りでサーバーサイドのSHA-1証明書を発行を打ち切ることを決定したのだ。そのため、サーバーサイドではもうじきSHA-1が使えなくなる。となると、サポートが打ち切られたOSがSHA-2に対応していなければ、そのまま使えなくなってしまうというわけだ。例えばApacheもSHA-2に対応していなければ使えなくなるので、古いサーバーOSも入れ替えが必要だ。つまり、Yahoo!だけの問題ではなさそうなのである。

シマンテックの書いたものを読むと、どうやらSHA-1対応かそうでないかはOSではなくブラウザーが決めるのだということが分かる。シマンテックの調査によるとほとんどのブラウザーがすでにSHA-2対応している。もう一つのソースであるwikipediaにはそれとは異なる対応表があったが、どちらともXP SP-3は対応したことになっている。

Yahoo!がどのような情報と意図に基づいて今のような注意書きを変えたのかはよく分からない。話を分かりやすくしようとして混乱の原因を作った可能性もあるし、別の意図を持っているのかもしれない。少なくとも、今日現在、Yahoo!は古い証明書を使っているので、話の真偽は確かめようがない。年内に突然ログインができなくなる可能性も捨てきれない。

この話を調べていて疑問に思ったのは、ブラウザーとサーバー以外の製品の対応だ。SSLは例えばメールソフト、iTunes、メッセンジャーなどで使われている。こうした製品がどの程度影響を受けるのかについては情報が集められなかった。もっとも、切り替えは進んでいるのかもしれない。Gmailが古いガラケーからアクセスできなくなっているのだそうだ。Googleは明確なアナウンスをしていないので、これがSHA-2対応によるものなのかは不明だ。Gmailの証明書を見ると、署名アルゴリズムがSHA256になっていた。これはSHA-2の一種なので、Gmailは既にSHA-2化が進んでいることになる。で、あればGmailを見る事ができるブラウザーは引き続きYahoo!の機能を使えることになる。

GlobalSignの対応表によると、XP SP3はSHA256に対応していることになっている。一方、MacOSの対応は10.5以降なので、10.4や10.3では使えないサービスも出ているものと思われる。

もっとも「古いOS」の利用率はそれほど高くない。このブログに接続する人を調べたところ、XPの利用率は3%に満たなかった。最もメジャーなバージョンはWindows 7だ。Windows 10やiOS9.1といった最新OSを利用している人たちも少数派で、アップデートの難しさを感じる。Mac OS 10.4を使っている人もごく少数派なので、今回のアナウンスによって影響を受ける人はそれほど多くないのかもしれない。

ネット上にはWindows XPパソコンはWindows 10には対応できないといった書き込みも多く見られる。しかし、これは必ずしも正しくない。後期に作られたXPパソコンの中にはWindows 10の導入要件を満たしたものがある。検索すると「アップデートに成功した」という記事が見つかる事もあるので、一度検索してみることをお勧めする。ただ、パソコンの価格も下がっている。10000円のWindows 10パソコンも発売されている。一方、PowerPCは10.5を例外としてそろそろオフライン限定にした方がよさそうだ。

シマンテックによると、日本政府は2019年までにSHA-2への切り替えを行うのだそうだ。すでに解読が進んでいる暗号であり、いつ破られてもおかしくはない。加えて、日本政府や自治体の情報リテラシーはかなり遅れていることが知られている。政府は「マイナンバーのセキュリティ対策は万全だ」と胸を張るだろうが、本当に大丈夫なのか改めて検証した方がよいように思える。そもそも民間のレベルでは2016年末ごろまでにアクセスができなくなってしまうのだ。