treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

ガラケーでネットサーフィンは危険?

昨日<SSL証明書のSHA-1廃止 - treedown’s Report>と言う記事を書きましたが、どちらかというと、本記事の方が気になっている今日この頃です。

何が気になっているかというと、表題にあるガラケーのSHA-1です。

ガラケーって関係ある?

ガラケー(以下フィーチャーフォンと表記)にSHA-1&SHA-2関係ある?と思う方いらっしゃるかもしれませんが、関係あります。
SSL証明書がSHA-1からSHA-2に移行しているので、SHA-1しか認識できないフィーチャフォンで、サイトアクセスする際には危険があるよ、と言う話があります。

フィーチャーフォンのブラウザって別段WindowsUpdateなどのように頻繁にアップデートが配信されるわけではないですし、そもそもメーカがフィーチャーフォンのアップデートには熱心でなかったという背景もあります。
よってフルブラウザとか言われていたブラウザも使い物にならなくなってから既に結構な期間が経過しています。

フィーチャーフォン搭載のブラウザがSHA-1しか認識できないので、偽造(偽装?)されたSSL証明書が使われいたとしてもSHA-1しか扱えない特性上どうにもなりません。ブラウザのアップグレードのようにSHA-2対応のブラウザが使えればそれでもいいのですが、スマートフォンと違ってブラウザのバージョンアップをする、という方法もフィーチャーフォンには選択肢として用意されていません。
こうなると世の中がSHA-2で安全にSSL証明書を使って身元証明をしている中で、フィーチャーフォンでネットサーフィンをしている人だけSHA-1のセキュリティに欠陥がある状態で利用を続けることになってしまいます。

ただし、例外もある

ドコモで言えば「docomoらくらくホン」の一部機種がソフトウェア更新でSHA-2対応になるようです。おお。
対象機種はらくらくホンベーシック3とらくらくホンベーシック4、らくらくホン7とらくらくホン8の四機種が対象のようです。
もしお父さんお母さんが上記らくらくホンをお持ちでしたらソフトウェア更新してあげることをお勧めしたいですね。

その他の機種ではもう対処無・打つ手なしです。
例えば私の所有しているSO905i、既に消耗品すら供給されなくなっているレベルで過去の機種となっていますが、この機種でSHA-2の証明書が適用されたサイトにアクセスすると、どうなるかというと、SSL通信が無効です、と言うメッセージともにサイトアクセスが切断されてしまいます。
もう古いフィーチャーフォンではネットサーフィンはしないようにした方がよさそうです。
とはいえ、iモード専用サイトってどうなるんでしょうか?あれは閉鎖だから大丈夫なのか、はたまたこれもSSL証明書がSHA-2移行することで従来のフィーチャーフォンではアクセスできなくなるのか、非常に興味があります。

よく分からない場合

とりあえず難しいことはよく分からね、と言う方にとってはSHA-1からSHA-2に世の中が移行していることとかSSL証明書がどうだ、とかあまり興味がないことと思います。

その場合には、フィーチャーフォンではネットサーフィンを極力控えてスマートフォンのブラウザでネットサーフィンをするようにすれば、このSHA-1安全じゃない⇒SHA-2安全、というのを気にせずにWebブラウジングが楽しめます。(※もちろんスマートフォンのブラウザが最新にアップデートされている、と言う前提です。たとえば旧Androidのブラウザなどは既にアップデートが打ち切られていて更新されなくなっていますのでご注意を)

最近スマートフォンも格安SIMでうまいこと調達すれば、それほど高額な出費をしなくてもよくなってきたことですし。
いざとなったらソネットの0SIMってのもありますし。

いや、その前に、フィーチャーフォンを未だに使っているようなユーザは、そもそもネットサーフィンをフィーチャーフォンでやらない、ってほうがありそうな話ですね。