マイクロソフト、SHA-1で署名された「Windows」関連ファイルのダウンロードを停止へ

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-07-30 12:27

 Microsoftは米国時間7月28日、SHA-1を用いてデジタル署名されたWindows関連ファイルのダウンロードを「Microsoft Download Center」から除去する計画を発表した。これらのファイルは8月3日に削除される予定だという。

Microsoft
 

 同社は今回の決定について、SHA-1アルゴリズムのセキュリティ問題を理由に挙げている。

 同社の発表では「SHA-1は、セキュリティコミュニティーの大半がもはやセキュアではないと確信している、レガシーな暗号化ハッシュ手段だ。デジタル署名にSHA-1のハッシュアルゴリムが用いられている場合、攻撃者はコンテンツの偽装やフィッシング攻撃の実行、中間者(Man In The Middle)攻撃が可能になる」と記している

 ある研究者チームは2016年2月、SHA-1のハッシュ関数を破るための理論上の知見を発表した。これを受けて、ほとんどのソフトウェア企業は最近になって、SHA-1アルゴリズムの使用を停止し始めている。

 SHA-1アルゴリズムが実際に破られたのは2017年だった。Googleの暗号研究者らが「SHAttered」を公開したのだった。SHAtteredを用いることで、SHA-1ハッシュの値が等しい2つのファイルを作り出せるようになる。

 これによってSHA-1の衝突を作り出せることが実証されたものの、そのコストはあまりにも高いと見なされていた。Googleの専門家らも、コストが低下し、現実的な脅威となるまでには少なくとも5年かかると考えていた。

 その後、他の研究者らによって、SHA-1の衝突攻撃を11万ドル以下にする手法が2019年5月に、そして5万ドル以下に抑えるよう手を加えられた手法が2020年1月に公開された。

 2016年以降、ソフトウェアメーカーはSHA-1の使用を止め、主にSHA-2へと変更してきている。Googleは2017年1月末にリリースした「Google Chrome 56」以降、そしてMozillaは「Firefox 51」以降、Microsoftは「Microsoft Edge」と「Microsoft Internet Explorer(IE)」の2017年半ば以降のリリースから、SHA-1のサポートを廃止している。

 Appleも後に続き、「iOS 13」と「macOS Catalina」からSHA-1のサポートを廃止している。またOpenSSHは、ログインプロセスにおけるSHA-1の使用を「廃止予定」(deprecate)にする計画を2020年5月に発表している。

 Microsoftは2019年8月以降、Windowsアップデートの署名と認証でSHA-1を使用しなくなっている。Microsoftは現在、同社製品群の全てでSHA-1をSHA-2に置き換えるプロセスを進めている。

 Microsoftは、8月3日に同社のダウンロードセンターから削除するWindows関連のファイルについて、SHA-2で署名された新たなダウンロードファイルに置き換えるかどうかを述べていないため、多くの人々は同社の古くからあるツール類が再びダウンロードできるようになるかどうかを懸念している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]