ハッシュ関数はなぜ破れないのか?暗算レベルから学ぶハッキングの難しさと暗号技術の最前線

セキュリティ
2025.09.14

ハッシュ関数は、一見すると「入力したデータをめちゃくちゃにかき混ぜて、固定長の文字列を返すだけの地味な仕組み」に見えるかもしれません。しかし、この「一方向性(元に戻せない)」と「衝突困難性(異なる入力から同じ出力が出にくい)」という性質こそが、現代のデジタル社会の安全を根底から支えています。

この記事では、「なぜハッシュ関数をハッキングするのは絶望的に難しいのか?」という疑問に、簡単な暗算レベルの例から、ビットコイン、そして実際に破られた過去のハッシュ関数まで、段階的に掘り下げていきます。テクノロジーの核心を理解し、その力を実感する「ムーブメント」を一緒に体験しましょう。

ステップ1:人間でもできる「疑似ハッシュ関数」でハッキングを体験

まず、ハッシュ関数の「一方向性」や「衝突」という概念を体感するために、人間でも計算できる超シンプルなハッシュ関数を考えてみましょう。

【疑似ハッシュ関数のルール】
入力された数字の各桁をすべて足し算し、その合計を10で割った余りをハッシュ値とする。
H(入力) = (各桁の合計) mod 10

例題1:ハッシュ計算(暗算チャレンジ)

問題:H(“184”) のハッシュ値は何でしょう?

  • 答えの計算:
    1. 各桁を足す: 1 + 8 + 4 = 13
    2. 10で割った余りを求める: 13 mod 10 = 3
    3. よって、ハッシュ値は 3 です。

これは簡単ですね。入力から出力(ハッシュ値)を求めるのは一瞬です。

例題2:逆算チャレンジ(原像攻撃)

問題:ハッシュ値が「5」になる元の数字を、3つ見つけてください。

  • 考え方:
    各桁の合計が「5」になるか、「15」になるか、「25」になるか…という数字を探せば良いわけです。
  • 答えの例:
    • H(“5”) → 5 mod 10 = 5
    • H(“23”) → (2+3) mod 10 = 5
    • H(“87”) → (8+7) mod 10 = 5
    • H(“429”) → (4+2+9) = 15 → 15 mod 10 = 5

どうでしょうか?少し考えれば、答えは無限に見つかります。ハッシュ値から元の値を特定するのは不可能で、候補を見つけること自体は簡単です。これが**原像攻撃(Preimage Attack)**の疑似体験です。

例題3:衝突チャレンジ(衝突攻撃)

問題:H(“12”) と同じハッシュ値を持つ、”12″以外の数字を1つ見つけてください。

  • 考え方:
    1. まず H(“12”) を計算します。1 + 2 = 3。ハッシュ値は「3」です。
    2. 次に、ハッシュ値が「3」になる別の数字を探します。
  • 答えの例:
    • H(“30”) → (3+0) mod 10 = 3
    • H(“66”) → (6+6)=12 → 12 mod 10 = 2 … これは違う。
    • H(“48”) → (4+8)=12 → 12 mod 10 = 2 … これも違う。
    • H(“111”)→ (1+1+1) mod 10 = 3
  • 答え: “30” や “111” など。

異なる入力なのに、同じ出力になってしまいました。これが**衝突(Collision)**です。この疑似ハッシュ関数では、衝突を意図的に見つけるのは非常に簡単です。

【まとめ】
この疑似ハッシュ関数は、逆算も衝突も簡単に見つかるため、暗号学的には全く役に立ちません。しかし、入力→出力は一方向であり、出力から入力を一つに特定できない、というハッシュ関数の雰囲気は掴めたかと思います。

ステップ2:もしビットコインが「簡単なハッシュ関数」を使ったら?

ビットコインの安全性は、SHA-256という極めて強力なハッシュ関数に依存しています。もし、これを先ほどの「足し算ハッシュ」に置き換えたら、ビットコインのシステムは即座に崩壊します。

1. マイニングが破綻し、通貨価値がゼロになる

ビットコインのマイニング(新規発行)は、「ある特定の条件を満たすハッシュ値を誰が一番最初に見つけるか」という計算競争です。
現在の条件は「ハッシュ値の先頭に0が19個ほど続くこと」といった、天文学的に低い確率のものを探す作業です。

  • SHA-256の場合:
    世界中のコンピューターが束になって10分間計算し続けて、ようやく1人が見つけられる難易度です。この困難さのおかげで、コインの発行ペースが保たれ、希少価値が生まれます。
  • 「足し算ハッシュ」の場合:
    「ハッシュ値が0になるものを探せ」と言われても、H(“19”)=0, H(“28”)=0 のように一瞬で見つかります。
    • 結果:
      • マイニング競争が一瞬で終わり、ブロックが1秒間に何千個も生成されてしまいます。
      • コインが無限に発行され、ハイパーインフレを起こして価値がゼロになります。
      • 特定の攻撃者が意図的にチェーンを分岐させたり、不正な取引を承認する51%攻撃が極めて容易になります。

2. 取引の改ざんが自由自在になる

ビットコインでは、取引データ(誰から誰へ、いくら送ったか)をハッシュ化して記録の正当性を担保しています。

ブロックチェーン台帳の信頼性が完全に失われます。

SHA-256の場合:
「AさんからBさんへ1BTC送金」という取引データから作られるハッシュ値と、全く同じハッシュ値を持つ「AさんからCさん(攻撃者)へ1BTC送金」という別のデータを作ることは、現実的に不可能です(衝突耐性)。

「足し算ハッシュ」の場合:
H(“AからBへ1BTC”) のハッシュ値が仮に 7 だったとします。
攻撃者は、自分に都合の良い H(“AからCへ1BTC”) という取引データを作り、そのハッシュ値が 7 になるように、データに無意味な情報(コメントなど)を付け加えて微調整することが簡単にできてしまいます。

結果:

署名の偽造や二重支払いが可能になり、誰の取引記録も信用できなくなります。

使用されるハッシュ関数は「SHA-256」です。この関数の出力は256ビット、つまり2進数で256桁の数値です。これは10進数に直すと、2^256 通り、およそ10^77通りという、宇宙に存在する原子の数に匹敵するほどの膨大なパターン数になります。

ステップ3:歴史の闇へ – 実際に破られたハッシュ関数たち

「ハッシュ関数は絶対に破られない」わけではありません。過去には、安全だと信じられていたにもかかわらず、脆弱性が見つかり「破られた」関数が存在します。代表的な例が MD5 と SHA-1 です。

ここで言う「破られた」とは、主に「衝突攻撃(Collision Attack)」が現実的な時間で成功したことを意味します。これは、異なる2つの入力データから、意図的に同じハッシュ値を生成する攻撃です。元のデータを探し出す「原像攻撃」よりもはるかに難易度が低いですが、それでも極めて高度な計算と理論が必要です。

なぜMD5は破られたのか?

  • 概要: 128ビットのハッシュ値を生成する、かつて広く使われた関数。
  • 脆弱性の核心: MD5は「マークル・ダンガード構造」という設計に基づいています。この構造は、データを特定のブロックサイズに分割し、前のブロックの計算結果を次のブロックの計算に使う、という処理を繰り返します。
    研究者たちは、この構造の圧縮関数に数学的な弱点があることを発見しました。具体的には、「差分攻撃」と呼ばれる手法を用い、入力データに特定の「差分」を巧妙に与えると、複数段の計算を経るうちの途中でその差分が打ち消しあい、最終的に同じハッシュ値が出力されてしまうことを見抜いたのです。
  • 技術的な解説: MD5の圧縮関数は、内部状態を更新する4つのラウンド(各16ステップ)で構成されています。攻撃者は、このステップごとの演算が線形に近い挙動を示す部分を悪用しました。入力に特定のビット差分(撹乱ベクトル)を導入し、それが計算過程でどのように伝播するかを精密に制御します。そして、別の入力にもう一つの計算された差分を導入することで、数ラウンド後には2つの入力から生じた内部状態の差がゼロになるように調整します。これにより、最終的なハッシュ値が一致するのです。
    これは、闇雲に試すブルートフォースとは全く異なり、関数の内部構造を完全に理解した上での、極めて知的な攻撃でした。
  • 影響: この脆弱性により、例えば2つの異なるプログラム(一つは無害、もう一つはウイルス)に同じMD5ハッシュ値を持たせることが可能になりました。これにより、ファイルの完全性検証などをすり抜けることができてしまいます。

SHA-1:巨人の陥落

  • 概要: MD5の後継として広く使われた160ビットのハッシュ関数。GitのコミットIDなどにも利用されていました。
  • 脆弱性の核心: SHA-1もMD5と同じくマークル・ダンガード構造を持っており、基本的な脆弱性の原理はMD5と似ています。しかし、SHA-1はより複雑な設計のため、攻撃は遥かに困難でした。
    2017年、GoogleとCWI(オランダ国立数学・情報科学研究所)が「SHAttered」と名付けた攻撃で、世界で初めてSHA-1の衝突を成功させたと発表しました。彼らは、2つの異なる内容を持つPDFファイルから、全く同じSHA-1ハッシュ値を生成することに成功したのです。
  • 技術的な解説: SHAttered攻撃もMD5と同様に差分攻撃を応用したものですが、SHA-1の複雑なメッセージスケジュール(入力ブロックを拡張する部分)と非線形なステップ演算を突破する必要がありました。攻撃者は、GPU(Graphics Processing Unit)を大量に用いた並列計算基盤を構築。2つの衝突ブロックペアを見つけるために、CPU換算で6,500年分というとてつもない計算量を投入しました。
    ただし、これはブルートフォース攻撃(約11万CPU年必要とされた)よりは遥かに効率的であり、SHA-1の理論的な安全性が現実の脅威となった瞬間でした。
  • 影響: この成功により、SHA-1はもはや安全なハッシュ関数ではないことが決定づけられ、主要なブラウザやOSはSHA-1証明書の受け入れを停止。業界全体でSHA-2(SHA-256など)への移行が加速しました。

まとめ:安全な未来のための絶え間ない探求

ハッシュ関数の世界は、より安全な暗号を構築しようとする研究者と、その弱点を見つけ出そうとする攻撃者との、終わりのない攻防戦の歴史です。

  • 暗算レベルの簡単なハッシュは、試行錯誤で簡単に衝突が見つかる。
  • SHA-256のような現代のハッシュ関数は、天文学的な計算量なしには破ることができず、ビットコインのようなシステムの安全を支えている。
  • MD5やSHA-1は、その数学的構造の弱点を突かれ、ブルートフォースよりも遥かに効率的な攻撃によって「破られた」。

現在、私たちはSHA-2ファミリーや、さらに新しい設計思想を持つSHA-3などを利用しています。また、将来の量子コンピュータによる脅威を見据えた「耐量子計算機暗号」の研究も進んでいます。

テクノロジーの裏側にある、このようなロジックや歴史を知ることは、私たちが日々使うツールへの理解を深め、より賢く、安全に付き合うための第一歩です。ハッシュ関数という一つの技術をとっても、そこには人類の知恵と探求の壮大な物語が詰まっているのです。

テクノロジーを通じて、あなたの生活を楽しくする「ムーブメント」を、これからも「楽パ」は提供していきます。

コメント

タイトルとURLをコピーしました