ダウンロードファイルのチェックサム照合 完全ガイド

なぜチェックサム照合が必要なのか

ダウンロードファイルは、通信障害による「途中で切断」「不完全な保存」が起こることがあります。これだけでも実行時にエラーが出たり、最悪はOSが起動しないトラブルにつながります。さらに深刻なのは、ミラーサーバーへの不正アクセスなどで「正規ファイルを装った別物に差し替えられる」攻撃です。ファイルを実行する前にチェックサムを照合すれば、これらの問題をほぼ確実に検知できます。

配布元（公式サイト）には、ファイルと並んでSHA-256などのハッシュ値が掲載されているのが一般的です。受け取り側で同じアルゴリズムでハッシュを計算し、1文字でも違えば「正規ファイルとは違うものを受け取った」と判断できる、というのが照合の考え方です。

基本フロー（共通4ステップ）

1. 配布元の公式ページで公開されているハッシュ値（多くはSHA-256）をコピーする。
2. 手元のファイルに対して、同じアルゴリズムでハッシュ値を計算する。
3. 2つの文字列を見比べて、完全一致するか確認する。
4. 1文字でも違えば、ファイルを削除して再ダウンロード。続けて使ってはいけません。

以下、OS別にステップ2（計算）と3（照合）の具体的手順を見ていきます。

Windowsでの照合手順

PowerShell（推奨）

Get-FileHash "C:\Users\you\Downloads\installer.exe" -Algorithm SHA256

結果の Hash 列の文字列と、配布元のSHA-256を比べます。Get-FileHashはWindows標準のため、追加インストール不要です。

CMD（古い環境）

certutil -hashfile "C:\Users\you\Downloads\installer.exe" SHA256

certutilはWindows XP以降に標準搭載されているため、PowerShellが使えない環境でも動きます。出力1行目のSHA256 ハッシュ部分を見比べてください。

macOSでの照合手順

shasum -a 256 ~/Downloads/installer.dmg

ターミナル（Spotlightで「ターミナル」と検索）を開いてコマンドを実行します。先頭に表示される64文字の文字列がSHA-256ハッシュです。MD5なら md5、SHA-1なら shasum -a 1、SHA-512なら shasum -a 512 を使います。

配布元と直接比較する技

echo "EXPECTED_HASH  ~/Downloads/installer.dmg" | shasum -a 256 -c

EXPECTED_HASHに配布元の値を入れて実行すると、一致すれば OK、違えば FAILED と出るので目視照合が不要になります。

Linuxでの照合手順

sha256sum ./ubuntu.iso

多くのディストリビューションには sha256sum が標準で入っています。ISOファイルなど大きめのファイルでも数秒〜数十秒で計算が終わります。

SHA256SUMSファイルを使った一括照合

sha256sum -c SHA256SUMS 2>&1 | grep OK

Ubuntu等の配布元は SHA256SUMS という一覧ファイルを公開しています。これと同じディレクトリで上記コマンドを実行すれば、複数のファイルを一括検証できます。

ブラウザだけで照合する（OS問わず）

コマンドを覚えるのが面倒なときや、出先の他人のPCで作業するときは、ブラウザだけで完結する方法が便利です。本サイトの ハッシュ値生成ツール を開き、ダウンロードしたファイルを「ファイルのハッシュ値」欄に指定するだけで、MD5・SHA-1・SHA-256・SHA-512が同時に表示されます。

このツールはWeb Crypto API（ブラウザ標準の暗号API）でハッシュを計算するため、ファイル内容は端末から外に出ません。社外秘ファイルでも安全に使えます。配布元と表示された値を1文字ずつ照合し、完全一致を確認してください。

よくあるトラブル対処