Microsoft、ダウンロードセンターでの“SHA-1”コンテンツを8月3日に廃止

“Microsoft Tech Community”でのアナウンス

　米Microsoftは7月28日（現地時間）、“SHA-1”アルゴリズムで暗号化されたコンテンツをダウンロードセンターから削除すると発表した。“SHA-1”の利用は8月3日に廃止され、“SHA-2”へ一本化される。

　“Secure Hash Algorithm 1（SHA-1）”は暗号化に用いられるハッシュアルゴリズムで、通信の間にコンテンツが改竄されていないことを保証するためには欠かせないものだ。しかし“SHA-1”はすでに設計が古く、アルゴリズムに弱点があることが指摘されて久しい。プロセッサーの高性能化やクラウドコンピューティングの普及により、その安全性は急速に低下しつつあり、放置すればコンテンツのなりすましやフィッシング攻撃、中間者攻撃につながりかねない。

　そのため、同社は後継アルゴリズム“SHA-2”への移行を進めてきた。今回の措置はその総仕上げとなりそうだ。Windows向けの更新プログラムのハッシュアルゴリズムはすでに“SHA-2”への移行を済ませており、“SHA-1”にしか対応しない環境にはパッチは配信されていない。もはやそのような環境は残されていないと思われるが、もしまだ“SHA-2”への対応が済んでいなければ急ぐべきだろう。