危殆化とは？ わかりやすく解説

IT用語辞典バイナリ

危殆化

読み方：きたいか
【英】compromise

危殆化とは、「危険な状態になること」「危うくなること」を意味する語である。コンピュータの性能向上によって暗号化技術をはじめとするセキュリティ技術の安全性が、相対的に低下していくこと指すことが多い。

暗号化アルゴリズムは、一般的に、コンピュータの演算能力を駆使しても現実的な時間の中では処理しきれない程の複雑さを備えることによって暗号を解読困難にし、安全性を確保している。このため、コンピュータの性能が飛躍的に向上したり、暗号化アルゴリズムの効率的な解読手法が考案されたりすると、暗号の解読が非現実的ではなくなり、十分に安全とはいえなくなる。

その他、公開鍵暗号を用いたセキュリティ技術において秘密鍵が外部に漏れることや、パスワードをメモして安易な方法で管理していたため他人に見られることなども、危殆化に含まれる。

暗号化技術を中心とする危殆化の定義や状況については、IPA（情報処理推進機構）が2005年に公開した「暗号の危殆化に関する調査」報告書に詳しい。

---

参照リンク
暗号の危殆化に関する調査報告書 - (独立行政法人情報処理推進機構)

ウィキペディア

危殆化

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2025/12/22 12:46 UTC 版)

危殆化（きたいか、英語:Compromise）とは、機密性の維持に不可欠な暗号鍵や暗号アルゴリズムの安全性が損なわれることである。暗号技術は情報の保管や通信で使われているが、技術の進歩に伴い、かつて強固であった暗号がその効力を失い、情報や通信の機密性が侵害される脆弱性となる恐れがある。日本では、暗号技術の評価・監視機関であるCRYPTREC（Cryptography Research and Evaluation Committees）が、この危殆化リスクを管理している^[1]。

危殆化の定義と分類

危殆化とは、一般的に暗号文が解読されることを指すが、リスクレベルに応じて以下の3段階に分類される。危殆化された暗号による脆弱性は、CWE-327「不完全、または危険な暗号アルゴリズムの使用」に分類される。

• 理論的危殆化 - 特定の暗号アルゴリズムに対して、ブルートフォース攻撃よりも少ない計算量で鍵を特定したり、平文を復元したりする手法が数学的に発見された状態である^[1]。例えば、鍵長がnビットである暗号に対し、新たな攻撃手法により2^{n-k}回（kは正の整数）で解読可能であることが証明された場合がこれに該当する。直ちに現実のシステムが侵害されるわけではないが、安全性の証明が崩れたことを意味する。

• 実質的危殆化 - 理論的な攻撃手法が、スーパーコンピュータやクラウドコンピューティングなどの現実的に利用可能な計算機リソースを用いて、許容可能な時間とコストの範囲内で実行可能となった状態である。SHA-1ハッシュ関数に対する衝突攻撃の成功などがこれに該当し、この段階に至った暗号技術は即時の利用停止と移行が求められる。

• 実装上の危殆化 - アルゴリズムそのものの数学的安全性は保たれていても、ソフトウェアやハードウェアとして実装した際の不備を突かれる状態である。代表的な例として、デバイスの消費電力や電磁波、処理時間などの物理的情報を解析して秘密鍵を推測するサイドチャネル攻撃がある^[2]。

CRYPTREC

→詳細は「CRYPTREC」を参照

CRYPTRECは、総務省および経済産業省が運営する暗号技術検討会と、NICT（情報通信研究機構）およびIPA（情報処理推進機構）が事務局を務める委員会等で構成される、日本における暗号技術評価機関である^[3]。2013年の改定以降、CRYPTRECは以下の3つのカテゴリで暗号リストを運用している^[4]。

• 電子政府推奨暗号リスト - 安全性・実装性能が確認され、市場実績が十分な技術。原則としてこのリストから選定する。
• 推奨候補暗号リスト - 安全性は確認されているが実績が少ない、または特定用途向けの技術。特定の要件がある場合に検討する。
• 運用監視暗号リスト - 危殆化が確認された技術。互換性維持のみ容認される。

新たな脆弱性が発見され、それが実質的危殆化となると判断された場合、その暗号技術は「電子政府推奨暗号リスト」から「運用監視暗号リスト」へ降格される^[4]。この判断において、市場での普及度よりも安全性が最優先される^[5]。また、緊急性が高い場合はリストからの削除や注意喚起が行われることもある^[6]。

主要暗号技術の危殆化事例

SHA-1

SHA-1はハッシュ関数として広く利用されてきたが、衝突耐性の破綻により危殆化した。2005年、160ビットのハッシュ関数であるSHA-1は、理論上2^{80}回の計算で衝突を発見できるはずだが、実際は、$2^{69}$回で可能であることが示された^[7]。2017年、GoogleとCWIは実際に同じSHA-1ハッシュ値を持つ異なる2つのPDFファイルの生成に成功した^[8]。これにより、契約書のすり替えなどが可能になるリスクが実証された^[9]。GitなどはSHA-1からの移行を進め^[10]、現在では運用監視暗号リストに分類され、Webブラウザでも受け入れが停止されている^[11]。

RC4

RC4は高速なストリーム暗号としてSSL/TLSやWEPに採用されたが、統計的な偏りが問題となった。FMS攻撃により、無線LAN規格WEPは短時間で鍵を復元可能となり、完全に危殆化した^[12]。2015年、RC4の「Invariance Weakness」を利用した攻撃が確立され、SSL/TLS通信上のCookieなどが復元されるリスクが顕在化した^[13]。これによりブラウザベンダーはRC4を廃止した^[14]。

3DES

3DESはDESを3回繰り返すことで鍵長を拡張したが、64ビットという短いブロックサイズに起因する脆弱性が問題となった。約2^{32}ブロック（約32GB）のデータを暗号化すると「誕生日のパラドックス」により衝突が発生する確率が高まる^[15]。2016年に実証されたSweet32攻撃では、この衝突を利用してHTTPS通信の内容を解読する手法が示された^[16]。この脆弱性は構造的な限界によるものであり、ブロックサイズ128ビットのAES等への移行が必要である^[17]。

RSA

RSAは、公開鍵暗号として用いられ、素因数分解の困難性に依存しているが、分解アルゴリズムの進化と計算機能力の向上により、安全な鍵長が増加している。1999年に512ビット、2009年に768ビットが分解された^[要出典]。RSA-1024は国家レベルの予算とクラウド計算機を用いれば解読可能と見積もられており^[18]、非推奨である。現在はRSA-2048が主流だが、2030年を目処に制限がかかる予定である。また、パディング方式はPKCS#1 v1.5からOAEPへの移行が推奨されている^[19]。

暗号の2030年問題

暗号の2030年問題とは、主要な暗号技術（特にRSA-2048など）が2030年頃に危殆化し、大規模な移行が必要となる課題である^[20]。

• 128ビットへの移行 - 現在の112ビットセキュリティ（RSA-2048等）の利用期限は2030年12月31日までとされており^[21]、以降は128ビットセキュリティ（RSA-3072、AES-128以上）が必要となる。
• マイナンバーカードへの影響 - 公的個人認証サービスではRSA-2048が使われているが、カードの有効期限が長いため、次期カードではより強度の高い暗号への切り替えが検討されている^[22][23]。

量子コンピュータによる危殆化の問題

Shorのアルゴリズムを用いる量子コンピュータの登場は、既存の公開鍵暗号を根底から危殆化させる^[24]。特に「Harvest Now, Decrypt Later」攻撃への対策として、耐量子性暗号への早期の対応が求められる。 米国NISTは耐量子計算機暗号（PQC）としてML-KEM（格子暗号ベース）などを標準化しており、日本でもCRYPTRECがガイドラインを策定し、導入に向けた評価を行っている^[25][26]。

脚注

[脚注の使い方]

1. ^ ^{a b} CRYPTREC Report 2024 (暗号技術評価委員会報告) (PDF) (Report). CRYPTREC. 2025年12月22日閲覧.
2. ^ “サイドチャネル攻撃とは？6つの攻撃手法、被害事例、対策を簡単解説”. OFFICE110. 2025年12月22日閲覧。
3. ^ “サイバー/デジタルリスク Navi - 用語集 - CRYPTREC暗号リスト”. ニュートン・コンサルティング. 2025年12月22日閲覧。
4. ^ ^{a b} CRYPTREC暗号リスト改定に向けた動向 及び暗号強度要件設定基準の紹介 (PDF) (Report). CRYPTREC. 2025年12月22日閲覧.
5. ^ CRYPTREC暗号リスト改定に向けた動向 及び暗号強度要件設定基準の紹介 (PDF) (Report). CRYPTREC. 2025年12月22日閲覧.
6. ^ CRYPTREC Report 2024 (暗号技術評価委員会報告) (PDF) (Report). CRYPTREC. 2025年12月22日閲覧.
7. ^ “What is the new attack on SHA-1 "SHAttered" and how does it work?”. Stack Exchange. 2025年12月22日閲覧。
8. ^ “SHA1 SHAttered”. NHS England Digital. 2025年12月22日閲覧。
9. ^ “SHAttered”. shattered.io. 2025年12月22日閲覧。
10. ^ “CRYPTREC が「SHA-1 の安全性低下について」を公開”. JPCERT/CC. 2025年12月22日閲覧。
11. ^ “企業の暗号技術採用の指針となる「CRYPTREC暗号リスト」とは ...”. ペンタセキュリティ. 2025年12月22日閲覧。
12. ^ “Bar Mitzvah Attack”. Black Hat. 2025年12月22日閲覧。
13. ^ “CVE-2015-2808 : Bar Mitzvah Attack in RC4”. SecPod Technologies. 2025年12月22日閲覧。
14. ^ “Bar Mitzvah attack exploits the Invariance Weakness in RC4”. Security Affairs. 2025年12月22日閲覧。
15. ^ “Anatomy of a cryptographic collision – the “Sweet32” attack”. SOPHOS. 2025年12月22日閲覧。
16. ^ “The SWEET32 attack”. Beagle Security. 2025年12月22日閲覧。
17. ^ “Sweet32: Time to Retire 3DES?”. Black Duck. 2025年12月22日閲覧。
18. ^ “1024 is still many orders of magnitude hard to crack than 512. For the record, t...”. Hacker News. 2025年12月22日閲覧。
19. ^ “企業の暗号技術採用の指針となる「CRYPTREC暗号リスト」とは ...”. ペンタセキュリティ. 2025年12月22日閲覧。
20. ^ 耐量 計算機暗号（PQC）への暗号移 に向けた 技術動向 (PDF) (Report). 日本銀行金融研究所. 2025年12月22日閲覧.
21. ^ “RSA 2048 bit の利用期限（CRYPTREC 暗号強度要件）”. Japanese PKI Blog. 2025年12月22日閲覧。
22. ^ “RSAの終わりの始まり - 暗号移行再び #電子署名”. Qiita. 2025年12月22日閲覧。
23. ^ 2030年暗号移行問題について (PDF) (Report). CRYPTREC. 2025年12月22日閲覧.
24. ^ 耐量子計算機暗号の最新動向 (PDF) (Report). NICT. 2025年12月22日閲覧.
25. ^ 3-3-4 CRYPTREC 活動 － 3 ガイドラインの発行と電子政府推奨暗号リスト改定－ (PDF) (Report). NICT. 2025年12月22日閲覧.
26. ^ ＣＲＹＰＴＲＥＣの最近の取組 (PDF) (Report). 総務省. 2025年12月22日閲覧.

関連項目

• 暗号
• CRYPTREC
• 計算量的安全性を持つ暗号