Microsoftは7月28日(米国時間)、公式ブログ「SHA-1 Windows content to be retired August 3, 2020 - Microsoft Tech Community - 1544373」で、MicrosoftダウンロードセンターにおけるSHA-1で署名されたコンテンツの提供を2020年8月3日をもって停止するとアナウンスした。

WindowsにおけるSHA-1のサポート停止は以前より段階的に実施されており、SHA-2をサポートしないデバイスに対するWindowsアップデートの提供は、2019年8月をもって既に停止されている。

  • SHA-1 Windows content to be retired August 3、2020 - Microsoft Tech Community - 1544373

    SHA-1 Windows content to be retired August 3, 2020 - Microsoft Tech Community - 1544373

これまで、Windows向けの更新プログラムの提供には、SHA-1とSHA-2の2つのハッシュアルゴリズムによる署名が使用されていた。しかしSHA-1は設計が古く、プロセッサの性能が向上し、クラウドコンピューティングが普及した今となっては、もはや安全なアルゴリズムではないことが知られている。SHA-1で署名されたコンテンツの提供は、攻撃者によるコンテンツの偽装や、フィッシング攻撃の実行、中間者攻撃の実行などが行われるリスクを伴うことになる。

そこでMicrosoftでは、Windowsコンテンツの提供にSHA-1を使用するのを止めて、SHA-2に一本化する方針をとっており、移行のためのプロセスを提供してきた。前述のように、Windowsの更新プログラムの提供においては既にSHA-1による署名は停止されている。

8月3日以降は、MicrosoftダウンロードセンターからもSHA-1で署名されたコンテンツは削除される。もし使用している環境が依然としてSHA-1に依存している場合には、早急にSHA-2に移行することが推奨されている。