Windows 7/Server 2008 R2向をSHA-2コード署名に対応させるパッチが公開

“Microsoft Update カタログ”

　米Microsoftは3月12日（現地時間、以下同）、“SHA-2”コード署名をサポートする更新プログラム「KB4474419」「KB4490628」をリリースした。Windows 7、Windows Server 2008 R2およびWindows Embedded Standard 7 が対象で、“Windows Update”を介して自動でダウンロード・インストールされる。“Microsoft Update カタログ”からダウンロードすることも可能。

　Windowsの更新プログラムは、途中で第三者によって改竄されていないことを保証するため、ハッシュアルゴリズム“SHA-1”および“SHA-2”を用いて署名されている。古い“SHA-1”がいまだに併用されているのは“SHA-2”をサポートしないレガシー環境に配慮してのことだ。

　しかし、“SHA-1”に関してはすでに設計が古く、アルゴリズムに弱点があることが指摘されて久しい。プロセッサーの高性能化やクラウドコンピューティングの普及により、その安全性は急速に低下しつつある。

　そこで、Microsoftは更新プログラムの署名を“SHA-2”へ一本化する方針だ。「KB4474419」および「KB4490628」がインストールされていないWindows 7/Windows Server 2008 R2環境は、いずれ新しい更新プログラムを適用できなくなるので注意したい。

　なお、Windows Server 2008向けの“SHA-2”対応パッチは次のパッチチューズデー（4月9日）にリリースされる予定。