headless 曰く、

米国立標準技術研究所 (NIST) は 15 日、限定的な場面で使われている SHA-1 アルゴリズムをより新しくセキュアなアルゴリズムに置き換えるよう IT プロフェッショナルに勧告すると発表した (ニュースリリース、 The Register の記事)。

SHA-1 は 2017 年に現実的な時間でハッシュの衝突を生成する方法が公開されるなど、十分な安全性が確保できないとして置き換えが進められている。NIST は今回、SHA-1 を 2030 年 12 月 31 日までに廃止すべきだと発表し、SHA-1 にセキュリティを依存するすべての人に対して可能な限り早く SHA-2 または SHA-3 へ移行することを推奨している。

NIST はこれに伴い、2030 年 12 月 31 日までに SHA-1 仕様を削除した FIPS 180-5 を発行し、SHA-1 廃止計画を反映するため SP 800 131A などの出版物を改訂、暗号モジュールとアルゴリズムを検証するための戦略を作成・発行する。これにより、2030 年以降は米連邦政府機関で SHA-1 を使用するモジュールの購入も禁じられることになる。

認証セキュリティをもくぐり抜ける新手の詐欺「SIMスワップ詐欺」が日本国内でも発生しているという。SIMスワップ詐欺は、「SIMハイジャック」や「SIM分割」とも呼ばれるもので、SNS上などで個人情報を集め、こうした人物の情報を元に本来の持ち主になりすましてSIMを再発行、標的の電話番号を詐欺師が保有しているSIMカードへ移すよう仕向ける手口だという（TBS NEWS DIG）。

TBS NEWS DIGによれば、このSIM再発行をアルバイトにさせるという闇バイトがSNS上で横行しているという。この報道によれば、報酬1回8万円ほどであるようだ。犯行をおこなっているグループは、貯金など現金を持っている人をリスト化してターゲットにし、端末の電話番号を乗っ取った上で2要素認証などをクリアし、ネットバンキングの口座から現金を奪うという方法を用いているとしている。