マイクロソフトは、来週SHA-1で署名されたすべてのWindowsダウンロードを削除します

マイクロソフトは今週、2020 年 8 月 3 日に SHA-1 証明書を使用して暗号化署名された Windows ダウンロード センターからすべての Windows ダウンロードを削除すると発表しました。SHA-1 アルゴリズムは、Web ドメインで発行者の正当性を認証するために使用される実行可能ファイル、TLS および SSL 証明書のコード署名に頻繁に使用されました。

セキュリティアナリストは2015年にレポートを発表し、SHA-1が衝突攻撃にどのように曝露されているかを説明し、攻撃者はデジタル証明書のコピーを作成して企業や他のWebサイトを模倣する可能性があります。これらのコピーは、フィッシング攻撃、なりすまし企業、または中間者攻撃に使用して暗号化されたネットワークセッションでリッスンすることができます。SHA-1 証明書の不具合により、マイクロソフトや他のクリエイターは SHA-1 証明書から移行し、Windows の更新プログラムをインストールするために SHA-2 を使用する必要があります。

マイクロソフトは、昨日発行された新しいサポート情報で、セキュリティ強化のためにセキュリティ ハッシュ アルゴリズム 1 (SHA-1) で署名されたすべての Windows コンテンツを廃止すると述べました。

“業界のセキュリティ標準の開発をサポートし、保護と生産性を維持するために、マイクロソフトは、セキュア ハッシュ アルゴリズム 1 (SHA-1) の Windows 署名されたコンテンツを 2020 年 8 月 3 日に Microsoft ダウンロード センターから残します。これは、最新のセキュリティ要件をよりよく満たし、一般的な攻撃ベクトルからの保護を強化するセキュアハッシュアルゴリズム2(SHA-2)を承認するための絶え間ない取り組みの次のステップです。

“SHA-1 は、セキュリティ コミュニティの多くがセキュリティで保護されなくなったと信じている従来の暗号化ハッシュです。デジタル証明書で SHA-1 ハッシュ アルゴリズムを使用すると、犯罪犯罪がコンテンツを偽装したり、フィッシング攻撃を実行したり、中間者攻撃を実行したりできる可能性があります。”マイクロソフトは、アルゴリズムに関連するセキュリティ上の懸念のために、Windowsオペレーティングシステムのアップデートを検証するためにSHA-1を使用しなくなり、以前に発表したように顧客をSHA-2に移動するための適切なアップデートを提供しました。したがって、2019 年 8 月から、SHA-2 サポートを受けていないデバイスは Windows の更新プログラムを受け取っていません。

マイクロソフトは公式コンテンツに対して SHA-2 署名されたコンテンツのみをサポートしていますが、SHA-1 で署名された Windows の実行可能ファイルは、オペレーティング システムで実行できます。Microsoft ダウンロード センターに古い SHA-1 署名付きファイルが存在する場合、8 月 3 日に削除する前に、それらのファイルをダウンロードする必要があります。