概要
Windows オペレーティング システムのセキュリティを保護するために、更新プログラムは以前に署名されています (SHA-1 と SHA-2 の両方のハッシュ アルゴリズムを使用)。 署名は、更新プログラムが Microsoft から直接取得され、配信中に改ざんされていないという認証に使用されます。 SHA-1 アルゴリズムの弱点と業界標準への準拠のために、より安全な SHA-2 アルゴリズムを排他的に使用するために Windows 更新プログラムの署名を変更しました。 この変更は、移行を円滑に行う 2019 年 4 月から 2019 年 9 月のフェーズで行われます (変更の詳細については、「製品更新プログラムのスケジュール」セクションを参照してください)。
従来の OS バージョン (Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2008 SP2) を実行しているお客様は、2019 年 7 月以降にリリースされた更新プログラムをインストールするために、デバイスに SHA-2 コード署名サポートをインストールする必要があります。 SHA-2 がサポートされていないデバイスは、2019 年 7 月以降に Windows 更新プログラムをインストールできません。 この変更の準備を支援するために、2019 年 3 月から SHA-2 サインインのサポートをリリースし、段階的な改善を行いました。 Windows Server Update Services (WSUS) 3.0 SP2 は SHA-2 のサポートを受け、SHA-2 に署名された更新プログラムを安全に提供します。 SHA-2 のみ移行タイムラインについては、「製品更新スケジュール」セクションを参照してください。
背景の詳細
Secure Hash Algorithm 1 (SHA-1) は、元に戻し可能なハッシュ関数として開発され、コード署名の一部として広く使用されています。 残念ながら、アルゴリズムの弱点、プロセッサ のパフォーマンスの向上、クラウド コンピューティングの登場により、SHA-1 ハッシュ アルゴリズムのセキュリティは時間の長い間セキュリティが低下しています。 セキュリティ で保護されたハッシュ アルゴリズム 2 (SHA-2) などのより強力な代替方法は、同じ問題が発生しなから、強く推奨されています。 SHA-1 の廃止の詳細については、ハッシュおよび署名アルゴリズム を参照してください。
製品更新スケジュール
2019 年初めから、SHA-2 サポートへの移行プロセスは段階で開始され、サポートはスタンドアロンの更新プログラムで配信されます。 Microsoft では、SHA-2 サポートを提供する次のスケジュールを対象にしています。 次のタイムラインは変更される場合があります。 必要に応じて、このページは引き続き更新されます。
|
目標日 |
イベント |
適用対象 |
|
2019 年 3 月 12 日 |
SHA-2コード 署名のサポートを導入するためにリリースされたスタンドアロン セキュリティ更新プログラムKB4474419とKB4490628。 |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
|
2019 年 3 月 12 日 |
スタンドアロン更新 プログラムKB4484071 は、SHA-2 署名済み更新プログラムの提供をサポートする WSUS 3.0 SP2 の Windows Update カタログで利用できます。 WSUS 3.0 SP2 を使用しているお客様のために、この更新プログラムは 2019 年 6 月 18 日までに手動でインストールする必要があります。 |
WSUS 3.0 SP2 |
|
2019 年 4 月 9 日 |
サービス スタック (SSU) の SHA-2 コード 署名サポートを導入したスタンドアロン更新プログラム KB4493730がセキュリティ更新プログラムとしてリリースされました。 |
Windows Server 2008 SP2 |
|
2019 年 5 月 14 日 |
SHA-2コード 署名のサポートを導入するためにリリースされたスタンドアロン セキュリティ更新プログラムKB4474419。 |
Windows Server 2008 SP2 |
|
2019 年 6 月 11 日 |
スタンドアロン セキュリティ更新 プログラム KB4474419が再リリースされ、MSI SHA-2 コード 署名のサポートが不足しています。 |
Windows Server 2008 SP2 |
|
2019 年 6 月 18 日 |
Windows 10 では、デュアル署名 (SHA-1/SHA-2) から SHA-2 にのみ変更された署名が更新されます。 顧客による対応は必要ありません。 |
Windows 10、バージョン 1709 Windows 10、バージョン 1803 Windows 10、バージョン 1809 Windows Server 2019 |
|
2019 年 6 月 18 日 |
必須: WSUS 3.0 SP2 を使用しているお客様の場合、SHA-2 更新プログラムをサポートするには、この日付までに KB4484071 を手動でインストールする必要があります。 |
WSUS 3.0 SP2 |
|
2019 年 7 月 9 日 |
必須: 従来の Windows バージョンの更新プログラムでは、SHA-2 コード署名のサポートをインストールする必要があります。 これらのバージョンの Windows で引き続き更新プログラムを受け取り続けるには、4 月と 5 月にリリースされたサポート(KB4493730 と KB4474419)が必要です。 すべての従来の Windows では、SHA1 とデュアル署名 (SHA-1/SHA-2) から SHA-2 に変更された署名は、現時点でのみ更新されます。 |
Windows Server 2008 SP2 |
|
2019 年 7 月 16 日 |
Windows 10 では、デュアル署名 (SHA-1/SHA-2) から SHA-2 にのみ変更された署名が更新されます。 顧客による対応は必要ありません。 |
Windows 10、バージョン 1507 Windows 10、バージョン 1607 Windows Server 2016 Windows 10、バージョン 1703 |
|
2019 年 8 月 13 日 |
必須: 従来の Windows バージョンの更新プログラムでは、SHA-2 コード署名のサポートをインストールする必要があります。 これらのバージョンの Windows で引き続き更新プログラムを受け取り続けるには、3 月にリリースされたサポート(KB4474419 と KB4490628)が必要です。 EFI ブートを使用しているデバイスまたは VM がある場合は、デバイスが起動しない問題を回避するための追加の手順について、FAQ セクションを参照してください。 すべての従来の Windows では、SHA-1 とデュアル署名 (SHA-1/SHA-2) から SHA-2 に変更された署名は、現時点でのみ更新されます。 |
Windows 7 SP1 Windows Server 2008 R2 SP1 |
|
2019 年 9 月 10 日 |
従来の Windows 更新プログラムの署名は、デュアル署名 (SHA-1/SHA-2) から SHA-2 にのみ変更されました。 顧客による対応は必要ありません。 |
Windows Server 2012 Windows 8.1 Windows Server 2012 R2 |
|
2019 年 9 月 10 日 |
スタンドアロン セキュリティ更新プログラムKB4474419が再リリースされ、見つからない EFI ブート 管理を追加しました。 このバージョンがインストールされていることを確認してください。 |
Windows 7 SP1 Windows Server 2008 R2 SP1 Windows Server 2008 SP2 |
|
2020 年 1 月 28 日 |
Microsoft信頼ルート プログラムの証明書信頼リスト (CLS) の署名が、デュアル署名 (SHA-1/SHA-2) から SHA-2 にのみ変更されました。 顧客による対応は必要ありません。 |
サポートされているすべての Windows プラットフォーム |
|
2020 年 8 月 |
Windows Update SHA-1 ベースのサービス エンドポイントは廃止されました。 これは、適切なセキュリティ更新プログラムで更新されていない古い Windows デバイスにのみ影響します。 詳細については 、KB4569557を参照してください。 |
Windows 7 Windows 7 SP1 Windows Server 2008 Windows Server 2008 SP2 Windows Server 2008 R2 Windows Server 2008 R2 SP1 |
|
2020 年 8 月 3 日 |
Microsoft ダウンロード センターから、セキュリティで保護されたハッシュ アルゴリズム 1 (SHA-1) の Windows に署名されたコンテンツが廃止されました。 詳細については、2020 年 8 月 3 日に廃止される Windows IT プロ ブログ SHA-1 Windowsのコンテンツを参照してください。 |
Windows Server 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Server |
現在の状態
Windows 7 SP1 および Windows Server 2008 R2 SP1
2019 年 8 月 13 日以降にリリースされた更新プログラムをインストールする前に、次の必要な更新プログラムをインストールしてからデバイスを再起動する必要があります。 必要な更新プログラムの新しいバージョンがない限り、必要な更新プログラムは任意の順序でインストールできます。再インストールする必要はありません。
-
サービス スタック更新プログラム (SSU)(KB4490628)。 Windows Update を使用している場合は、必要な SSU が自動的に提供されます。
-
2019 年 9 月 10 日リリースの SHA-2 更新プログラム(KB4474419)。 Windows Update を使用している場合、必要な SHA-2 更新プログラムが自動的に提供されます。
重要:月次ロールアップ、セキュリティ専用更新プログラム、月次ロールアップのプレビュー、またはスタンドアロンの更新プログラムをインストールする前に、必要なすべての更新プログラムをインストールした後、デバイスを再起動する必要があります。
Windows Server 2008 SP2
2019 年 9 月 10 日以降にリリースされたロールアップをインストールする前に、次の更新プログラムをインストールしてからデバイスを再起動する必要があります。 必要な更新プログラムの新しいバージョンがない限り、必要な更新プログラムは任意の順序でインストールできます。再インストールする必要はありません。
-
サービス スタック更新プログラム (SSU)(KB4493730)。 Windows Update を使用している場合、必要な SSU 更新プログラムが自動的に提供されます。
-
2019 年 9 月 10 日にリリースされた最新の SHA-2 更新プログラム(KB4474419) Windows Update を使用している場合、必要な SHA-2 更新プログラムが自動的に提供されます。
重要:月次ロールアップ、セキュリティ専用更新プログラム、月次ロールアップのプレビュー、またはスタンドアロンの更新プログラムをインストールする前に、必要なすべての更新プログラムをインストールした後、デバイスを再起動する必要があります。
よく寄せられる質問
一般的な情報、計画、および問題の防止
SHA-2 コード署名サポートは、これらのシステムの更新プログラムに対する Microsoft の SHA-2 署名の変更の前に、ほとんどのお客様がサポートを十分に受け取る前に、早期に出荷されました。 スタンドアロンの更新プログラムにはいくつかの追加の修正プログラムが含まれるので、すべての SHA-2 更新プログラムが簡単に識別できる更新プログラムの数が少なからず更新されます。 Microsoft では、これらの OS のシステム イメージを保持しているお客様が、これらの更新プログラムを画像に適用する方法をお勧めします。
Windows Server 2012 の WSUS 4.0 より、WSUS は既に SHA-2 署名付き更新プログラムをサポートしています。これらのバージョンに対する顧客の操作は必要はありません。
SHA2 のみ署名済み更新プログラムをサポートするには、WSUS 3.0 SP2 にのみ KB4484071がインストールされている必要があります。
Windows Server 2008 SP2 を実行するとします。 Windows Server 2008 R2 SP1/Windows 7 SP1 とデュアルブートする場合、この種類のシステムのブート マネージャーは Windows Server 2008 R2/Windows 7 システムから提供されます。 SHA-2 サポートを使用するためにこれらの両方のシステムを正常に更新するには、最初に Windows Server 2008 R2/Windows 7 システムを更新して、ブート マネージャーが SHA-2 をサポートするバージョンに更新する必要があります。 次に、SHA-2 サポートを使用して Windows Server 2008 SP2 システムを更新します。
デュアルブートシナリオと同様に、Windows 7 PE 環境は SHA-2 サポートに更新する必要があります。 その後、Windows Server 2008 SP2 システムを SHA-2 サポートに更新する必要があります。
-
2019 年 8 月 13 日以降の更新プログラムをインストールする前に、Windows セットアップを実行して完了し、Windows で起動する
-
管理者コマンド プロンプト ウィンドウを開き、bcdboot.exe。 これにより、Windows ディレクトリからブート ファイルがコピーされ、ブート環境がセットアップされます。 詳細 については、「BCDBoot Command-Lineオプション 」を参照してください。
-
追加の更新プログラムをインストールする前に 、KB4474419およびKB4490628 for Windows 7 SP1 および Windows Server 2008 R2 SP1 の 2019 年 8 月 13 日の再リリースをインストールします。
-
オペレーティング システムを再起動します。 この再起動は必須です
-
残りの更新プログラムをインストールします。
-
イメージをディスクにインストールし、Windows に起動します。
-
コマンド プロンプトで、次を実行bcdboot.exe。 これにより、Windows ディレクトリからブート ファイルがコピーされ、ブート環境がセットアップされます。 詳細 については、「BCDBoot Command-Lineオプション 」を参照してください。
-
追加の更新プログラムをインストールする前に 、KB4474419およびKB4490628 for Windows 7 SP1 および Windows Server 2008 R2 SP1 の 2019 年 9 月 23 日の再リリースをインストールします。
-
オペレーティング システムを再起動します。 この再起動は必須です
-
残りの更新プログラムをインストールします。
はい、SSU(KB4490628)および SHA-2 更新プログラム(KB4474419)を実行する前に、必要な更新プログラムをインストールする必要があります。 さらに更新プログラムをインストールする前に、必要な更新プログラムをインストールした後に、デバイスを再起動する必要があります。
Windows 10 バージョン 1903 では、リリース後の SHA-2 がサポートされ、すべての更新プログラムは既に SHA-2 にのみ署名されています。 このバージョンの Windows ではアクションは必要とされません。
Windows 7 SP1 および Windows Server 2008 R2 SP1
-
2019 年 8 月 13 日以降の更新プログラムをインストールする前に、Windows を起動します。
-
追加の更新プログラムをインストールする前に 、KB4474419 および KB4490628for Windows 7 SP1 および Windows Server 2008 R2 SP1 の 2019 年 9 月 23 日の再リリースをインストールします。
-
オペレーティング システムを再起動します。 この再起動は必須です
-
残りの更新プログラムをインストールします。
Windows Server 2008 SP2
-
2019 年 7 月 9 日以降の更新プログラムをインストールする前に、Windows を起動します。
-
追加の更新プログラムをインストールする前に 、KB4474419 および KB4493730 for Windows Server 2008 SP2 の 2019 年9月 23 日の再リリースをインストールします。
-
オペレーティング システムを再起動します。 この再起動は必須です
-
残りの更新プログラムをインストールします。
問題の回復
"Windows では、このファイルのデジタル0xc0000428確認できません。 最近のハードウェアまたはソフトウェアの変更により、誤って署名されたファイルや破損したファイル、または不明なソースからの悪意のあるソフトウェアである可能性があるファイルがインストールされている可能性があります。" 回復するには、次の手順に従ってください。
-
回復メディアを使用してオペレーティング システムを起動します。
-
追加の更新プログラムをインストールする前に、Windows 7 SP1 および Windows Server 2008 R2 SP1 の展開イメージサービスと管理(DISM)を使用して、2019 年 9 月 23 日以降の更新プログラムKB4474419をインストールします。
-
コマンド プロンプトで、次を実行bcdboot.exe。 これにより、Windows ディレクトリからブート ファイルがコピーされ、ブート環境がセットアップされます。 詳細 については、「BCDBoot Command-Lineオプション 」を参照してください。
-
オペレーティング システムを再起動します。
-
他のデバイスへの展開を停止し、再起動していないデバイスや VM を再起動しない。
-
2019 年 8 月 13 日以降にリリースされた更新プログラムで再起動待ち状態のデバイスと VM を特定し、管理者特権のコマンド プロンプトを開く
-
削除する更新プログラムのパッケージ ID を見つけるには、その更新プログラムの KB 番号を使用して次のコマンドを使用します (2019 年 8 月 13 日リリースの月次ロールアップではない場合は 、4512506 を対象の KB 番号に置き換えてください):dism /online /get-packages | findstr 4512506
-
<パッケージ ID> を前のコマンドで見つかったものに置き換え、更新を削除するには、次のコマンドを使用します: Dism.exe /online /remove-package /packagename:<パッケージ ID>
-
ここで、インストールしようとしている更新プログラムの「この更新プログラムを取得する方法」セクションに記載されている必要な更新プログラムをインストールするか、この記事の「現在の状態」セクションに記載されている必要な更新プログラムをインストールする必要があります。
注:現在エラー 0xc0000428 を受け取っているデバイスまたは VM、または回復環境から開始しているデバイスまたは VM は、エラー 0xc0000428 に関する FAQ 質問の手順に従う必要があります。
これらのエラーが発生した場合は、インストールしようとしている更新プログラムの「この更新プログラムを取得する方法」セクションに記載されている必要な更新プログラムをインストールするか、この記事の「現在の状態」セクションで上記の必要な更新プログラムをインストールする必要があります。
"Windows では、このファイルのデジタル0xc0000428確認できません。 最近のハードウェアまたはソフトウェアの変更により、誤って署名されたファイルや破損したファイル、または不明なソースからの悪意のあるソフトウェアである可能性があるファイルがインストールされている可能性があります。" 回復するには、次の手順に従ってください。
-
回復メディアを使用してオペレーティング システムを起動します。
-
Windows 7 SP1 および Windows Server 2008 R2 SP1 の展開イメージサービスと管理(DISM)を使用して、2019 年 8 月 13 日以降にリリースされた最新の SHA-2 更新プログラム(KB4474419)をインストールします。
-
回復メディアに再起動します。 この再起動は必須です
-
コマンド プロンプトで、次を実行bcdboot.exe。 これにより、Windows ディレクトリからブート ファイルがコピーされ、ブート環境がセットアップされます。 詳細については、「BCDBoot Command-Lineオプション」を参照してください。
-
オペレーティング システムを再起動します。
この問題が発生した場合は、コマンド プロンプト ウィンドウを開き、次のコマンドを実行して更新プログラムをインストールすることで、この問題を軽減できます (<msu の場所> プレースホルダーを更新プログラムの実際の場所とファイル名に置き換えます)。
wusa.exe <msu location> /quiet
この問題は、2019 年 10 月 8 日リリースの KB4474419で解決されています。 この更新プログラムは、Windows Update および Windows Server Update Services (WSUS) から自動的にインストールされます。 この更新プログラムを手動でインストールする必要がある場合は、上記の回避策を使用する必要があります。
注:2019 年 9 月 23 日にリリースされた KB4474419を以前にインストールした場合は、この更新プログラムの最新バージョンが既にインストールされています。再インストールする必要はありません。
