電子的な情報の信頼性を確保するための電子署名等には、ハッシュ関数が広く用いられています。ハッシュ関数とは、任意の長さのデータを一定の長さのデータ（メッセージダイジェストあるいはハッシュ値）に圧縮するデータ圧縮関数の一つです。電子署名等で利用されるハッシュ関数は、特に「暗号学的ハッシュ関数」と呼ばれ、ハッシュ値から元のデータを探すことが困難であるという性質が要求されています。

　中でも、1991 年に開発され、現在でも広く用いられているMD5 (Message Digest 5)と呼ばれるハッシュ関数は、2004 年8 月に異なる2 つの元情報に対して同一のMD5ハッシュ値を生成できることが示されました^※1。

　さらに、2007 年4 月には、情報の一部を固定しながら同一のMD5 ハッシュ値を生成する計算法が発見され、その結果短時間で元の情報を特定できることが示されています。これは、例えば電子メールのパスワードの確認にMD5 を用いているAPOP (Authenticated Post Office Protocol) においては、MD5のハッシュ値を解読することで元のパスワードを推定でき、電子メールを盗聴される危険性があります。MD5 は電子メールのパスワード秘匿や電子文書の信頼性を担保する電子署名等に広く用いられている技術であることから、当該技術を用いるシステム利用者、開発者に対し早急な対応を促し、盗聴等による被害が発生、拡大することを未然に防ぐことが急務となっています。

　 ※1：同一のハッシュ値を持つような異なる2 つの元情報が見つかることを「衝突」と呼んでいます。

　本調査研究では、MD5 のハッシュ値から元の情報を特定する手法に関する再確認、並びに実環境での検証を行い、MD5 を利用する上での限界を明らかにしました。

　APOP 方式を用いる電子メールシステムとAPOP の脆弱性を突く攻撃サーバーを構築し、実際と同様のメール使用環境への攻撃により、パスワードが解読できるかどうか実証実験を行いました。また、実態調査として、APOP 方式を採用しているプロバイダでの対応状況、メールソフトでのAPOP 脆弱性対策の実施状況の調査を行いました。

　市販のメールソフトを用いた調査の結果、想定した全てのパスワードについて、市販されているPCを用いて、比較的短時間で解読できることが確認できました（全ての設定した条件下で想定時間内に解読：現実の使用環境（メール到着確認周期が30 分、2 回に1 回攻撃）では40 日程度で解読が可能）。

　 当面の対策としては、従来からいわれている「パスワードを定期的に変更すること」、「メールソフト側で、APOP の規約に従ったチェックを行うこと」の2 点を行う必要があることがわかりました。特に、パスワードの変更周期については、使用しているパスワードやサーバーへの接続頻度によりますが、1か月〜2 か月毎の変更の必要性が判明しました。

　また、メールのリアルタイム性を上げるためには頻繁にメールサーバーに接続する必要がありますが、そのたびに認証が行われるため攻撃の機会をより頻繁に与えることにもなります。従って、必要最低限のメール到着確認周期にすることも、攻撃から身を守る術となります。

　調査報告書の構成は以下のとおりです。

1. 調査研究概要
   
2. MD5 の脆弱性に関する調査研究
3. MD5 解読手法の実ネットワーク環境での実証調査
4. まとめ
   

独立行政法人情報処理推進機構
セキュリティセンター 暗号グループ 山岸

Tel： 03-5978-7508　Fax：03-5978-7518　E-mail：

独立行政法人情報処理推進機構　戦略企画部広報グループ　横山／大海

Tel： 03-5978-7503　Fax：03-5978-7510　E-mail：