ハーベスト・ナウ・デクリプト・レイター、DEFAULTがお届けします

朗報：暗号学的に脅威となる量子コンピューターはまだ存在しない。ShorアルゴリズムによるRSA-2048への攻撃には、現在出荷されているものより多くの誤り訂正量子ビットが必要であり、公開ロードマップも依然として「近い将来」の域にとどまっている。シャンパンを開けよう――AES-256バックアップは今のところ安全だ。

もちろん「今のところ」という部分が肝心であり、だからこそ責任ある関係者たちはここ数年、「今収集して後で復号する」攻撃を無力化するため、X25519MLKEM768のようなハイブリッドポスト量子鍵交換の展開に取り組んできた。AWSはその取り組みを着実に進めている：Secrets Managerはシンプルなクライアント側のアップデート（Agent 2.0.0、Lambdaエクステンション19、最新SDK）でハイブリッドX25519+ML-KEMをネゴシエートするようになり、さらにCacheeもリリースした。これはRustで実装されたインプロセスキャッシュで、新しい大型PQCキーを吸収するために特別に設計されている――ML-KEM-1024の公開鍵はECDHの32バイトに対して1,568バイト、SLH-DSA-256fの署名は50 KB近くあり、17 KBの署名の読み取りに0.9 msかかることでRedisが処理に支障をきたしていたためだ。この移行は現実のものであり、そのエンジニアリングは印象的だ。

そこへCVE-2026-2673が降りかかる。OpenSSL 3.5または3.6のサーバー設定のグループリストでDEFAULTキーワードを使用している場合、実装上のバグがタプル構造をフラット化し、サーバーはHello Retry Requestをスキップして、クライアントが最初に提示した古典的な楕円曲線で静かにハンドシェイクを完了してしまう。エラーも警告も出ない――ただセッションが収集可能な状態になり、将来の量子攻撃者があなたに感謝状を送ってくることになる。3.5.6 / 3.6.2がリリースされ次第すぐにアップグレードし、DEFAULTを使用している箇所を監査し、そして暗号移行における永遠の教訓を忘れないでほしい：アルゴリズムがボトルネックになることはほぼない。設定こそが弱点だ。