暗号学的に重要な量子コンピュータ(CRQC)が初めて登場する時、それはプレスリリースと共に現れることはない。そう遠くない未来のある日、国家、組織犯罪集団、あるいは狂気の億万長者によって、ひっそりとその能力が起動される。そして8時間以内に、あなたのTLS(Transport Layer Security)RSA-2048暗号化は消滅する。まるで熱いナイフがバターを切るように。
そして肝心なのは、量子インシデント対応というものは存在しないということだ。SOC(セキュリティ運用センター)やNOC(ネットワーク運用センター)で赤色ランプが点滅することはない。暗号化されたTCP API接続への盗聴命令についてアラートが鳴ることもない。侵害は手遅れになるまで侵害に見えないのだ。 DDoS攻撃は「可視化」でき、パケットスクラビングや巧妙なルーティングルールで影響を軽減できる。しかし量子攻撃に伴う「サイレント・ブーム」は、他の多くのサイバーセキュリティ事象と同様だ。実質的な観測可能な指標なしに発生する。環境変数やWindowsレジストリ設定で「quantum-tracking=true」の設定を忘れるような単純なミスではないのだ。
過去数年間、世界経済フォーラム量子セキュリティ作業部会のメンバーとして、私たちは定期的に会合を開き、量子コンピューティングの革新に伴うリスク(そのすべてがPKIや現代のウェブアプリケーション・サービスで使用される非対称暗号の破りに集中しているわけではない)に対する準備態勢と認識を促進するために何ができるかを議論してきました。私たちに何ができるでしょうか 今 準備すべきか 将来に?
当ワーキンググループは2023年に準備ツールキットを公開しましたが、これは量子技術時代に必要な能力を理解したい多くの組織にとって、今なお優れた出発点となっています。 さらに最近では、金融サービス業界向けの機会と課題に関するガイダンスをまとめたホワイトペーパーが本年7月に公開されました。いずれも必須の要約版(TL;DR)を掲載しており、このテーマに関する興味深い内容を数分かけて読みたい方には、いずれも13ページを超えるボリュームとなっています。
残念ながら、この話題に関しては多くのFUD(恐怖・不確実性・疑念)や怪しげな情報が流布されているため、専門家を貶め「RSA(リベスト・シャミア・アドルマン、安全なデータ伝送に広く使われる最も古い公開鍵暗号方式の一つ)はすでに死んだ(暗号学的に破られている)」と宣言するクリックベイト記事や投稿を信じるべきではない。特定の鍵長では確かにそうだ。 しかしRSA 2048に関しては、量子コンピュータの助けを借りて通信が盗聴されていると考える根拠は現時点では存在しません。
機密の平文データは他の方法で入手する方がはるかに容易だという点を肝に銘じておいてください。例えば、このXKCDの漫画は私たちのワーキンググループ会議で最初に共有された資料の一つであり、ハッキングとテクノロジーの本質を非常にうまく捉えています:https://www.explainxkcd.com/wiki/index.php/538:_Security
なぜ予期できないのか
今日の監視ツールは、不審なログインやマルウェアのシグネチャ、DDoS攻撃の急増を検知します。しかし「量子暗号解読が進行中」という事象は検知できません。CRQCが存在すれば、傍受された暗号化データ(リアルタイムで、あるいは2008年のDEF CON 16セッションで初めて実証されたBGPハイジャック事件による数年間の保存トラフィックから)は、あなたの知らぬ間に静かに復号される可能性があります。
唯一の防御策:準備
検知できないものには対応できない。 唯一の勝機は、脅威が現実化する前に(専門家は常に5年から10年以内と予測している)、量子攻撃に脆弱な暗号やアルゴリズムからの移行を図ることだ。その第一歩は、いわゆる「暗号アジリティ」——つまりNIST承認のPQC(ポスト量子暗号)アルゴリズムが利用可能になった際に導入する能力——を支えるための、暗号技術の完全な棚卸しから始まる:
- 発見– 使用中のすべての暗号、アルゴリズム、鍵長、プロトコルをマッピングする。量子耐性アルゴリズムを使用したい場合は、TLSv1.3をサポートできる必要がある。
- 分類– PQCによる保護が必要な量子脆弱性を持つコンポーネントとデータを特定する。これは企業や業界によって異なる。
- 優先順位をつける– 価値が高く、長期保存されるデータを最初に対処する。すべての機密データが永遠に機密であるわけではない。最新のマーベル映画のキャスティング発表は、超極秘中の極秘事項だ(以前マーベルのCISOを務めていたので知っている)。しかし発表されれば機密ではなくなり、その情報は公開情報として再分類される。
- 移行– CRYSTALS-KyberやDilithiumなどのポスト量子暗号(PQC)への移行を開始する。状況によっては、修復計画ではなく緩和策が最適となる場合がある。例えば、脅威への曝露を減らすために、ウェブサイトアプリケーション、サービス、APIの一部に対してPQCプロキシを設置することが可能である。
量子破断窓
CRQCの日が来ると、「量子侵害ウィンドウ」が世界中で静かに開く。在庫リストを持たない者は(比喩的に言えば)焦って右往左往し、リストを持つ者は既に作成・テスト済みの移行計画を実行または加速させる。おそらくあなたは、自身の通信がCRQC所有者から購入した「量子タップ」の対象に値しないと考えているだろう。 数時間以上秘密にしておく必要のない情報しか持っていないなら、CRQCが8時間で暗号を解読しパスワードを把握できるなら、7時間ごとにパスワードを変更すればよい。しかし確信しておいてほしい、この節目は地質学的な規模の混乱をもたらすだろう。世界的な情報管理と、あらゆる機密・秘密情報の取り扱いにおいて、まさにプレートテクトニクス的な大変動が起きるのだ。
もしかすると、量子通信の安全な通信経路として、伝書鳩の復活が見られるかもしれない。あるいは、USBメモリをバッグに詰めてニューヨークのダウンタウンを自転車便が疾走する光景が再び見られるかもしれない(実際、2023 年にICBCがサイバー攻撃 を受けた際、未決済取引や注文を閉じるためにこの光景を目撃した)。
量子暗号解読が起きたと気づいた時には、それはすでに過去の出来事だ。あなたのデータは既に他人の手に渡っている。量子インシデント対応は現実的ではない。量子対応準備こそが現実だ。今すぐ始めよ。
量子対応準備
データの棚卸しを行い、どの資産やアプリケーションがPQCの候補となるかを把握する方向で、今すぐできる簡単な対策がいくつかあります。その一つは、インターネットに公開されている資産のうち、PQCアルゴリズムを使用しているものがどれだけあるかを単純に把握することです。このステップをAikido 、Aikido 簡単なウェブサイトが作成されています:https://quantum.aikido.io
Aikido 、攻撃対象領域監視モジュールにポスト量子暗号のチェックを追加しました。サインアップ後、監視対象のドメインを追加すると、ポスト量子暗号をまだ使用していない場合、問題フィードに以下のような問題が表示されます:
その問題をクリックすると、以下のような詳細が表示されます:
そうせよ
多くの『スタートレック』の艦長たちのように、「実行せよ…」と命令するだけで済めば良いのですが、もちろん現実はそう単純ではありません(近い将来、ChatGPT v5なら可能になるかも?)。そこで当然の疑問として「サイトをポスト量子暗号対応にするにはどうすれば良いのか?」という問いが浮かびます。その答えにはいくつかの異なるアプローチがあります:
- プロキシ経由でアクセスしてください。CloudflareはTLSv1.3とML-KEMを用いた量子耐性暗号を提供し、設定変更なしでウェブサイトやAPIを将来の量子脅威から保護します。詳細はこちら:https://www.cloudflare.com/pqc/
- コンパイルしてください。ほとんどのWebサーバー(もちろんアプリケーションやAPIも同様)は、TLSアルゴリズムと暗号スイートの実装にOpenSSLに依存しています。OpenSSL(3.x)用のOpen Quantum Safeプロバイダーを使用することは、量子耐性暗号を提供する手段となります。 詳細はこちら:https://github.com/open-quantum-safe/oqs-providerおよびhttps://medium.com/be-tech-with-santander/how-to-configure-post-quantum-cryptography-in-your-web-server-fcf79e05e526
量子未来は待ってはくれない。君も待つべきではない。
データポイント
Chromeはバージョン124(2024年5月)でTLSv1.3のデフォルトとしてML-KEMを追加した。それ以前のものは実験段階であり、私の見解では真のPQCではなかった。
StatsCounterによると、2025年7月時点でのChromeバージョン124以上の合計シェアは43.30%です。Microsoft EdgeもChromiumベースであることから、2025年7月時点でのEdgeバージョン124以上の合計シェアは11.29%となります。 クライアント側では一定の進展が見られるが、サーバー側でのPQC提供状況はどの程度進んでいるのだろうか?
注記:
Safariは現在、一般的なウェブ閲覧(TLS接続)においてポスト量子暗号(PQC)をサポートしていません。AppleはiMessage(PQ3プロトコル)にPQCを実装しており、Safari向けにも開発を進めている可能性がありますが、2025年初頭時点では、Safariにおける全TLSトラフィックへの広範なデフォルトサポートは明示的に確認されていません。
Firefoxはポスト量子暗号(PQC)をサポートしていますが、デフォルトでは有効化されていません。Firefoxの設定から手動で有効にする必要があります。具体的には、FirefoxはハイブリッドPQC鍵交換アルゴリズムであるX25519MLKEM768をサポートしています。
参考文献:
https://help.aikido.dev/dast-surface-monitoring/attack-surface-monitoring
https://gs.statcounter.com/browser-version-market-share/desktop/worldwide/
https://github.com/open-quantum-safe/oqs-provider
https://www.cloudflare.com/pqc/
https://www3.weforum.org/docs/WEF_Quantum_Readiness_Toolkit_2023.pdf
https://media.defense.gov/2021/Aug/04/2002821837/-1/-1/1/Quantum_FAQs_20210804.PDF
今すぐソフトウェアを保護しましょう
.png)
.avif)
