Windowsパッチの署名がSHA-2へ一本化 ～Windows 7は7月までに対応を済ませないと更新不能に

　米Microsoftは2月16日（現地時間。、以下同）、Windows向けの更新プログラムを署名するハッシュアルゴリズムを“SHA-2”へ一本化する方針を明らかにした。

　現在、Windows向けの更新プログラムは“SHA-1”と“SHA-2”という2つのハッシュアルゴリズムでデュアル署名され、通信の途中で改竄されていないことを保証している。いまだに“SHA-1”でも署名されているのは、“SHA-2”をサポートしないレガシー環境に配慮してのことだが、“SHA-1”はすでに設計が古く、アルゴリズムに弱点があることが指摘されて久しい。プロセッサーの高性能化やクラウドコンピューティングの普及により、その安全性は急速に低下しつつある。

　そこでMicrosoftは、Windows向けの更新プログラムで“SHA-1”の署名を廃止する。レガシーOS（Windows 7 SP1、Windows Server 2008 R2 SP1およびWindows Server 2008 SP2）や一部の古いバージョンの“Windows Server Update Services（WSUS）”では、デバイスを“SHA-2”コードサイニングに対応させるための更新プログラムをインストールする必要がある。

　「Windows 7 SP1」および「Windows Server 2008 R2 SP1」の場合、この更新プログラムは3月12日にスタンドアロンのセキュリティ更新プログラムとして提供される予定（「Windows Server 2008 SP2」は4月9日）。7月16日のアップデートを適用するには、この更新プログラムの適用が必須となる。

　また、「WSUS 3.0 SP2」でも同様の対応策を6月までに施す必要があるので注意。「Windows 8.1」や「Windows 10」はすでに“SHA-2”に対応しているため、ユーザー側での対応は不要だ。