Windows および WSUS の 2019 SHA-2 コード署名サポートの要件

適用対象: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2

概要


Windows オペレーティング システムのセキュリティを保護するために、更新プログラムは以前に署名されていました (SHA-1 と SHA-2 ハッシュ アルゴリズムの両方を使用)。 署名は、更新プログラムがマイクロソフトから直接提供され、配信中に改ざんされていないことを認証するために使用されます。 SHA-1 アルゴリズムの弱点と業界標準への整合性のため、マイクロソフトは、より安全な SHA-2 アルゴリズムを使用した Windows の更新プログラムにのみ署名します。 この変更は、スムーズな移行を可能にするために、2019 年 4 月から 2019 年 9 月までのフェーズで行われました (変更の詳細については、「製品の更新スケジュール」セクションを参照してください)。

従来の OS バージョン (Windows 7 SP1、Windows Server 2008 R2 SP1、および Windows Server 2008 SP2) を実行しているお客様は、2019 年 7 月までに SHA-2 コード署名サポートをデバイスにインストールする必要があります。 SHA-2 がサポートされていないデバイスには、2019 年 7 月以降の Windows の更新プログラムが提供されません。 この変更に備えて、2019 年に SHA-2 署名のサポートをリリースする予定です。 Windows Server Update Services (WSUS) 3.0 SP2 は、SHA-2 署名付き更新プログラムを正しく配信するために SHA-2 サポートを受けます。 SHA-2 のみの移行タイムラインについては、「製品の更新スケジュール」セクションを参照してください。

背景の詳細


セキュア ハッシュ アルゴリズム 1 (SHA-1) は、不可逆的なハッシュ関数として開発され、コード署名の一部として広く使用されています。 残念ながら、SHA-1 ハッシュ アルゴリズムのセキュリティは、アルゴリズムに見られる弱点、プロセッサーのパフォーマンスの向上、およびクラウド コンピューティングの出現により、時間の経過とともに安全性が低下しています。 セキュア ハッシュ アルゴリズム 2 (SHA-2) などのより強力な代替手段は、同じ問題に悩まされないため、現在強く推奨されています。 SHA-1 の廃止に関する詳細については、ハッシュと署名のアルゴリズムを参照してください。

製品の更新プログラムのスケジュール


2019 年初頭から、SHA-2 サポートへの移行プロセスは段階的に行われ、サポートはスタンドアロンの更新プログラムで提供されます。 マイクロソフトは、SHA-2 サポートを提供するために、次のスケジュールを目標としています。 下記のタイムラインは変更されることがあることに注意してください。 更新情報については、必要に応じ、本記事を更新してお知らせします。

目標日

イベント

対象製品

2019 年 3 月 13 日

スタンドアロン セキュリティ更新プログラム KB4474419KB4490628 がリリースされ、SHA-2 コード署名のサポートが導入されました。

 

Windows 7 SP1、
Windows Server 2008 R2 SP1

2019 年 3 月 13 日

スタンドアロン更新プログラム、KB4484071 は、SHA-2 署名付き更新プログラムの配信をサポートする WSUS 3.0 SP2 用の Windows Update カタログで入手できます。 WSUS 3.0 SP2 を使用しているお客様は、この更新プログラムを 2019 年 6 月 18 日までに手動でインストールする必要があります。

WSUS 3.0 SP2

2019 年 4 月 10 日

SSU (サービス スタック) 用の SHA-2 コード署名サポートを導入したスタンドアロン更新プログラム、KB4493730 がセキュリティ更新プログラムとしてリリースされました。

Windows Server 2008 SP2
2019 年 5 月 15 日 SHA-2 コード署名サポートを導入するためのスタンドアロンセキュリティ更新プログラム KB4474419 がリリースされました。 Windows Server 2008 SP2
2019 年 6 月 12 日水曜日 欠落している MSI SHA-2 コード署名サポートを追加するためのスタンドアロン セキュリティ更新プログラム KB4474419 が再リリースされました。
 
Windows Server 2008 SP2
 
2019 年 6 月 18 日 Windows 10 の更新プログラムの署名は、デュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。 この他に必要な作業はありません。 Windows 10 1709、
Windows 10 1803、
Windows 10 1809、
Windows Server 2019
2019 年 6 月 18 日 必須: WSUS 3.0 SP2 を使用しているお客様は、SHA-2 更新プログラムをサポートするために、この日までに KB4484071 を手動でインストールする必要があります。 WSUS 3.0 SP2

2019 年 7 月 10 日

必須: 従来の Windows バージョンの更新では、SHA-2 コード署名サポートをインストールする必要があります。 The support released in April and May (KB4493730 and KB4474419) will be required in order to continue to receive updates on these versions of Windows.

従来の Windows の更新プログラムの署名は、現時点でデュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。

Windows Server 2008 SP2
2019 年 7 月 16 日 Windows 10 の更新プログラムの署名は、デュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。 この他に必要な作業はありません。

Windows 10 1507、
Windows 10 1607、
Windows Server 2016、
Windows 10 1703

2019 年 8 月 13 日

必須: 従来の Windows バージョンの更新では、SHA-2 コード署名サポートをインストールする必要があります。 これらのバージョンの Windows で引き続き更新プログラムを入手するには、3 月にリリースされたサポート (KB4474419 および KB4490628) が必要になります。 EFI ブートを使用しているデバイスまたは VM をお持ちの場合は、デバイスが起動しない問題を防ぐための追加手順については、「よく寄せられる質問」セクションを参照してください。

従来の Windows の更新プログラムの署名は、現時点でデュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。

Windows 7 SP1、
Windows Server 2008 R2 SP1
2019 年 9 月 10 日 従来の Windows 更新プログラムの署名は、デュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。 この他に必要な作業はありません。 Windows Server 2012、
Windows 8.1、
Windows Server 2012 R2
2019 年 9 月 11 日 スタンドアロン セキュリティ更新プログラム KB4474419が再リリースされ、不足している EFI ブート マガーが追加されました。 このバージョンがインストールされていることを確認してください。 Windows 7 SP1、Windows Server 2008 R2 SP1 および Windows Server 2008 SP2 (x64)

現在の状態


Windows 7 SP1 と Windows Server 2008 R2 SP1

2019 年 8 月 13 日以降にリリースされたロールアップをインストールする前に、次の更新プログラムをインストールし、デバイスを再起動する必要があります。 必要な更新プログラムは、新しいバージョンが必要な場合を除き、任意の順序でインストールでき、再インストールする必要はありません。

  • サービス スタック更新プログラム (SSU)(KB4490628). Windows Update を使用している場合は、最新の SSU が自動的に提供されます。 
  • 2019 年 9 月 10 日にリリースされた最新の SHA-2 の更新プログラム (KB4474419) 。 Windows Update を使用している場合は、最新の SHA-2 更新プログラムが自動的に提供されます。

重要: マンスリー ロールアップ、セキュリティのみの更新プログラム、またはマンスリー ロールアップのプレビューをインストールする前に、必要なすべての更新プログラムをインストールした後、デバイスを再起動する必要があります。

Windows Server 2008 SP2

2019 年 7 月 9 日以降にリリースされたロールアップをインストールする前に、次の更新プログラムをインストールし、デバイスを再起動する必要があります。 必要な更新プログラムは、新しいバージョンが必要な場合を除き、任意の順序でインストールでき、再インストールする必要はありません。

  • サービス スタック更新プログラム (SSU)(KB4493730) Windows Update を使用している場合は、最新の SSU が自動的に提供されます。 
  • 2019 年 9 月 11 日にリリースされた最新の SHA-2 の更新プログラム (KB4474419)。 Windows Update を使用している場合は、最新の SHA-2 更新プログラムが自動的に提供されます。

重要: マンスリー ロールアップ、セキュリティのみの更新プログラム、またはマンスリー ロールアップのプレビューをインストールする前に、必要なすべての更新プログラムをインストールした後、デバイスを再起動する必要があります。

よく寄せられる質問


一般情報、計画、問題防止

問題の回復