ブログに戻る/開発ツール

ハッシュ関数解説:MD5、SHA-1、SHA-256、その先へ

2026年3月15日· 24 分 読了· 開発ツール

ハッシュ関数は、たとえ気づいていなくても、ソフトウェア開発のあらゆる場所で使われています。ファイルをダウンロードしてチェックサムを確認するとき、Webサイトにログインするとき、Gitでコミットするとき、あるいはBitcoinをマイニングするとき(まあ、最後のは当てはまらないかもしれませんが)、ハッシュ関数が裏で重労働をしています。

ハッシュ関数とは何か、どう違うのか、いつどれを使うべきかを見ていきましょう。

ハッシュ関数とは?

ハッシュ関数は任意の入力 — 1文字でも、小説でも、4GBの動画ファイルでも — を受け取り、固定サイズの出力(「ハッシュ」や「ダイジェスト」と呼ばれる)を生成します。データの指紋のようなものです。入力がどれだけ大きくても小さくても、出力は常に同じ長さです。

ハッシュ関数の特徴は以下の通りです:

  • 決定性: 同じ入力は常に同じ出力を返します。hash("hello")は、どのマシンでも、どのプログラミング言語でも、毎回まったく同じ値を返します。
  • 一方向性: 出力から入力を逆算することはできません。ハッシュが与えられても、それを生成した入力を特定する方法はありません(推測する以外に)。これがパスワード保存に有用な理由です。
  • 雪崩効果: 入力を1ビット変えるだけで、出力が劇的に変化します。例えば、"hello"と"Hello"のSHA-256ハッシュはまったく異なる文字列になります。
  • 衝突耐性: 同じハッシュ出力を生成する2つの異なる入力を見つけることが、実質的に不可能であるべきです。アルゴリズムが強力であるほど、衝突を見つけることが困難になります。

実際に見てみましょう:

plaintext

たった1文字 — 小文字の「h」と大文字の「H」 — の違いで、まったく異なる出力になります。これが雪崩効果の実例です。

ハッシュ関数の内部動作

ハッシュ関数の背後にある数学は複雑ですが、一般的なプロセスはシンプルです。ほとんどのハッシュ関数は以下のステップに従います:

1. パディング: 入力メッセージの長さが固定ブロックサイズ(例:SHA-256では512ビット)の倍数になるようにパディングされます。これにより、アルゴリズムが均一なチャンクでデータを処理できます。

2. ブロック分割: パディングされたメッセージが固定サイズのブロックに分割されます。

3. 圧縮ラウンド: 各ブロックはビット演算 — XOR、AND、OR、ビットシフト、モジュラー加算 — の複数ラウンドで処理されます。これらの演算がビットを徹底的に混合し、すべての出力ビットがすべての入力ビットに依存するようにします。

4. チェイニング: 1つのブロックの処理出力が次のブロックの処理に入力されます。これが、入力の最初の方の小さな変更が、以降のすべてのブロックに連鎖する理由です。

5. 最終ダイジェスト: すべてのブロックが処理された後、内部状態が最終ハッシュ値として出力されます。

これらの演算は順方向の計算は簡単ですが、逆方向にはほぼ不可能であるという点が重要です。ビットを「逆混合」して元の入力を復元することはできません。

MD5:引退したベテラン

MD5は1991年にRonald Rivestによって設計され、128ビット(16進数32文字)のハッシュを生成します。何十年もの間、標準として使われていました — インターネット上のあらゆるファイルダウンロードの横にMD5チェックサムが表示されていました。

しかし、MD5は現在暗号学的に破られていると見なされています。研究者たちは実用的な衝突攻撃を実証しています — つまり、同じMD5ハッシュを生成する2つの異なるファイルを作成できるのです。2008年には、研究者がMD5衝突を利用して不正なSSL証明書を作成し、これが単なる理論的弱点ではないことを証明しました。

まだ使える用途: ファイル整合性チェック(ダウンロードが正常に完了したかの確認)、重複排除用チェックサム、非セキュリティ用ハッシュテーブル、セキュリティが関係ないデータの簡易フィンガープリント。

絶対に使ってはいけない用途: パスワード保存、デジタル署名、セキュリティ証明書、または意図的に衝突を作成される可能性のあるあらゆる用途。

SHA-1:こちらも引退

SHA-1はNSAによって設計され、1995年に公開されました。160ビット(16進数40文字)のハッシュを生成します。SSL証明書、PGP署名、バージョン管理システムで何年もの間標準として使われていました。

2017年にGoogleが実用的な衝突攻撃を実証(有名なSHAttered攻撃)して以降、非推奨となりました。彼らは同じSHA-1ハッシュを持つ2つの異なるPDFファイルを作成しました。この攻撃には9,223,372,036,854,775,808回のSHA-1計算が必要でした — 膨大な数ですが、現代のクラウドコンピューティングリソースがあれば実行可能です。

Gitは内部的にコミットハッシュにSHA-1を使用していますが、SHA-256への移行が進んでいます。ブラウザと認証局は何年も前にSHA-1証明書の受け入れを中止しています。今日のコードベースでセキュリティ用途にSHA-1が使われているのを見つけたら、フラグを立てて移行すべきです。

SHA-256とSHA-512:現在の標準

これらはSHA-2ファミリーの一部で、NSAによって設計され2001年に公開されました。今日のほとんどの用途で使うべきものです。

  • SHA-256: 256ビット出力(16進数64文字)。Bitcoin、TLS証明書、ほとんどのセキュリティアプリケーションで使用されています。セキュリティとパフォーマンスの最適なバランスです。Bitcoinのプルーフ・オブ・ワークシステム全体がダブルSHA-256ハッシュの上に構築されています。
  • SHA-512: 512ビット出力(16進数128文字)。出力が大きいほど衝突耐性が高くなります。興味深いことに、64ビットプロセッサではSHA-256より高速なことが多いです。SHA-512はネイティブに64ビットワードで動作するのに対し、SHA-256は32ビットワードを使用するためです。
  • SHA-384とSHA-512/256: これらはSHA-512の切り詰めバリアントです。SHA-384は384ビットの出力を提供し、SHA-512/256は256ビットの出力を提供しますが、SHA-512の64ビット演算によるパフォーマンス上の利点があります。

簡易比較:

plaintext

SHA-3:次世代

SHA-3は、NISTが実施した公開コンペティションを経て2015年に標準化されました。Merkle-Damgard構造を使用するSHA-2とは異なり、SHA-3はKeccakスポンジ構造 — 根本的に異なるデザイン — に基づいています。

なぜこれが重要なのか?もし数学的なブレークスルーによってSHA-2の設計アプローチが危殆化した場合、SHA-3はまったく異なる仕組みで動作するため影響を受けません。暗号学コミュニティにとっての保険です。

SHA-3は同じ出力サイズ — SHA3-256、SHA3-384、SHA3-512 — を提供し、さらにSHAKE128とSHAKE256を導入しています。これらは任意の長さのハッシュを生成できる「拡張可能出力関数」です。

実際には、SHA-2の方がまだ広く使われており、ほとんどのハードウェアで高速です。SHA-3の採用は増えていますが、置き換えというよりはバックアップ標準としての位置づけです。

実際のユースケース

Gitバージョン管理: Gitのすべてのコミット、ツリー、ブロブはSHA-1ハッシュで識別されます。git commitを実行すると、Gitは変更内容、ツリー構造、親コミットハッシュ、作者情報、タイムスタンプをハッシュします。コミットハッシュがa1b2c3d4e5f6...のように見えるのは、文字通りSHA-1ダイジェストだからです。

Bitcoinマイニング: マイナーはブロックデータと組み合わせてダブルSHA-256でハッシュしたとき、ターゲット閾値を下回るハッシュを生成するナンス値を見つけるために競争します。このハッシュを見つける難しさがネットワーク全体を保護しています。2024年時点で、Bitcoinネットワークは毎秒約500京回のSHA-256ハッシュを計算しています。

ファイル重複排除: Dropboxなどのクラウドストレージサービスは、アップロードされたすべてのファイルをハッシュします。ハッシュが既存のファイルと一致すれば、重複を保存せずにポインターを追加するだけです。これにより膨大なストレージを節約できます。

デジタル署名: 文書やソフトウェアリリースに署名する際、ファイル全体に署名するわけではありません。代わりに、ファイルがハッシュされ、そのハッシュが秘密鍵で署名されます。受信者は自分でファイルをハッシュし、そのハッシュに対して署名を検証します。

API認証: HMAC(ハッシュベースメッセージ認証コード)は、秘密鍵とメッセージハッシュを組み合わせて、APIリクエストの整合性と真正性を検証します。AWS、Stripe、そしてほとんどの主要APIがリクエスト署名にHMAC-SHA256を使用しています。

開発者がハッシュで犯しがちなミス

パスワードにハッシュ関数を使う: 通常のSHA-256はパスワードハッシュには高速すぎます。GPUを持つ攻撃者は毎秒数十億のSHA-256ハッシュを計算でき、ブルートフォース攻撃が容易になります。bcrypt、scrypt、Argon2など、意図的に低速でメモリ集約型のパスワード専用ハッシュ関数を常に使用してください。

ソルトを使わない: ソルト(ハッシュ前にパスワードに追加するランダム値)なしでパスワードをハッシュすると、同じパスワードが同じハッシュを生成します。事前計算された「レインボーテーブル」を持つ攻撃者は、一般的なパスワードを瞬時に検索できます。ユーザーごとにユニークなランダムソルトを常に追加してください。

タイミング安全でない方法でハッシュを比較する: セキュリティに敏感なコードで==を使ってハッシュを比較すると、タイミングサイドチャネルを通じて情報が漏洩する可能性があります。攻撃者は比較にかかる時間を測定し、ハッシュを1文字ずつ推測できます。Node.jsのcrypto.timingSafeEqual()やPythonのhmac.compare_digest()などの定数時間比較関数を使用してください。

ハッシュを切り詰める: 一部の開発者はスペースを節約するためにハッシュを切り詰めます(例:SHA-256ハッシュの最初の16文字だけを保存)。これは衝突耐性を劇的に低下させます。完全なSHA-256ハッシュには2^256の可能な値がありますが、16進数16文字に切り詰めると2^64しか残りません — 現代のハードウェアでブルートフォース可能な数です。

どのハッシュ関数を使うべきか?

  • ファイル整合性(非セキュリティ): SHA-256、またはMD5でも可。偶発的な破損をチェックするのであって、悪意のある改ざんではありません。
  • パスワード保存: これらのどれでもない!bcrypt、scrypt、またはArgon2を使いましょう — 意図的に低速で、ブルートフォース攻撃を非現実的にします。通常のハッシュ関数はパスワードハッシュには高速すぎます。
  • デジタル署名と証明書: SHA-256またはSHA-512。
  • HMAC(メッセージ認証): SHA-256またはSHA-512。
  • Gitスタイルのコンテンツアドレッシング: SHA-256(Gitが向かっている方向です)。
  • 将来に備える: 何十年も持つ必要があるシステムを構築し、SHA-2が危殆化した場合のバックアッププランが必要なら、SHA-3を検討してください。
  • データパイプラインのチェックサム: パイプラインステージ間のデータ整合性検証にはSHA-256。CRC32の方が高速ですが、偶発的なエラーしか検出できず、意図的な改ざんには対応できません。

コードでのハッシュ関数:実践的な例

さて、理論はここまでにして、実際にコードを書いてみましょう。正直なところ、ハッシュを理解する最良の方法は、実際にやってみることです。皆さんが日常的に使っている言語でのハッシュ計算方法を紹介します。

Node.js — 組み込みのcryptoモジュールでとても簡単にできます:

javascript

そして面白いことに、ファイルのハッシュもほとんど同じです:

javascript

Python — Pythonのhashlibも同じくらいシンプルです。個人的にはPythonのAPIが一番きれいだと思います:

python

Go — Goの標準ライブラリは、この用途に非常によく設計されています:

go

Java — 少し冗長ですが(だって...Javaですから)、きちんと動きます:

java

ファイルダウンロードの検証: これはハッシュの最も実用的な使い方の1つです。例えば、LinuxのISOをダウンロードして、WebサイトにSHA-256チェックサムがabc123...と記載されている場合、以下のように検証します:

bash

これは基本的なことに思えるかもしれませんが、このステップを省略する開発者がどれだけ多いか驚くでしょう。4GBのダウンロードで1バイトが壊れただけで、午後が台無しになることもあります。

レインボーテーブルとその恐ろしさ

さて、ここからは初めて学んだときに衝撃を受けた部分です。誰かが、例えば8文字までのすべての可能なパスワードのハッシュを事前に計算したとします。文字、数字、記号のあらゆる組み合わせ。そして、それらのハッシュからパスワードへの対応をすべて巨大なルックアップテーブルに保存します。

それがレインボーテーブルです。そして本当に恐ろしいものです。

その理由:パスワードをソルトなしの単純なSHA-256ハッシュとして保存していた場合、データベースを手に入れた攻撃者は何も「クラック」する必要がありません。各ハッシュをレインボーテーブルで検索するだけです。ドン — 即座にパスワード復元完了。検索にかかるのはマイクロ秒です。

これらのテーブルはどれくらいの大きさか?8文字までの英数字パスワードをすべてカバーするレインボーテーブルは約100〜200GBです。多いように聞こえますが、SSD1台に収まります。CrackStationのようなサイトには数十億の事前計算されたハッシュのテーブルがあり、一般的なパスワードハッシュを数秒で無料でクラックしてくれます。

ここからが朗報です:ソルティングはレインボーテーブルを完全に無効化します。 ソルトとは、ハッシュ化する前にパスワードに追加するランダムな文字列です:

plaintext

何が起きたかわかりますか?同じパスワード("password123")が、異なるソルトのおかげでまったく異なるハッシュを生成しています。攻撃者はすべての可能なソルトに対して別々のレインボーテーブルを作成する必要がありますが、それは計算上不可能です。

すべての最新パスワードハッシュライブラリ(bcrypt、Argon2、scrypt)はソルティングを自動的に処理します。もし自分でパスワードハッシュを実装しようと思ったなら — やめてください。本当に。bcryptを使って先に進みましょう。

HMAC:秘密鍵付きハッシュ

HMACはHash-based Message Authentication Code(ハッシュベースメッセージ認証コード)の略で、はい、難しそうに聞こえますね。でも付いてきてください — 実は気づかないうちに使っている、かなりシンプルな概念なんです。

通常のハッシュはメッセージを受け取ってハッシュを生成します。HMACはメッセージと秘密鍵を受け取ってハッシュを生成します。重要な違い(ダジャレです)は、秘密鍵を知っている人だけがHMACを生成・検証できるということです。2つのことを同時に証明します:メッセージが改ざんされていないこと、そして秘密を知っている人から送られたこと。

これが実際に使われている場面は?Webhookの署名です。GitHubやStripeがサーバーにWebhookを送る際、ヘッダーにHMAC-SHA256の署名を含めます。サーバー側で自分でHMACを計算して比較することで、Webhookが本当にGitHubから来たもの(ランダムな攻撃者による偽装ではない)であることを確認できます。

Node.jsでのGitHub Webhook署名検証の実践例です:

javascript

timingSafeEqualの呼び出しに気づきましたか?これは極めて重要です。通常の===比較は最初に一致しない文字を見つけた時点でfalseを返します。つまり攻撃者はレスポンス時間を計測して、署名をバイトごとに特定できてしまいます。タイミング安全な比較は、不一致がどこにあっても常に同じ時間がかかります。

ハッシュ関数のパフォーマンスベンチマーク

パフォーマンスが重要なのはわかります。特にビルドパイプラインで数百万のファイルをハッシュしたり、大量のデータストリームを処理する場合は。主要なハッシュ関数の速度比較です(最新のx86_64ハードウェアでの概算ベンチマーク):

plaintext

ちょっと待って、気づきましたか?BLAKE3は暗号学的に安全でありながらSHA-256の10倍高速です。誤植ではありません。

BLAKE3はハッシュの世界で最も注目されている新技術であり、それには十分な理由があります。BLAKE2ファミリー(NISTコンペティションですでにSHA-3を上回っていた)をベースに、SIMDパラレリズムとマルチスレッディングを活用するよう再設計されています。実質的にmemcpyの速度でデータをハッシュできます。

なぜ気にすべきか?ビルドツールは気にしています。とても。Bazel、Buck、さまざまなコンテンツアドレッサブルストレージシステムなどのツールは、ファイルのハッシュに驚くほどの時間を費やしています。SHA-256からBLAKE3に切り替えると、依存関係チェックが桁違いに速くなることがあります。Rustエコシステムは積極的にBLAKE3を採用しており、ますます多くの場所で使われるようになっています。

とはいえ、広い互換性やFIPSなどの標準への準拠が必要な場合は、SHA-256とSHA-512が依然として正しい選択です。まだすべてがBLAKE3をサポートしているわけではなく、多くのユースケースではハッシュ速度がボトルネックにならないこともあります。

ブロックチェーンとマークル木:大規模なハッシュ

さて、ここからが本当に面白くなります。Gitが巨大なリポジトリの中でどのファイルが変更されたか正確に把握できる仕組みを知っていますか?Bitcoinがブロックチェーン全体をダウンロードせずにトランザクションを検証できる仕組みは?その秘密はマークル木(1979年に特許を取得したRalph Merkleにちなんで名付けられた)というデータ構造にあります。

マークル木は基本的にハッシュのツリーです。4つのデータブロックがあると想像してみてください:

plaintext

各リーフノードはデータブロックのハッシュです。各親ノードは、2つの子を連結したもののハッシュです。ルートハッシュ(「マークルルート」とも呼ばれる)は、ツリー内のすべてのデータを表す単一のハッシュです。

ここからが本当にエレガントな部分です:Data Cの1ビットでも変更されると、Hash(C)が変わり、Hash(CD)が変わり、ルートハッシュが変わります。ルートを確認するだけで、改ざんを即座に検出できます。

さらに良いことがあります。Data A、B、Dを明かすことなく、Data Cがツリーの一部であることを証明したい場合、必要なのは:Data C、Hash(D)、Hash(AB)だけです。検証者はルートまでのパスを再構築し、一致するかチェックできます。これを「マークル証明」と呼び、非常に効率的です — 100万個のリーフを持つツリーでも、証明はわずか約20ハッシュ(log2の1,000,000)です。

実際にはどこで使われているのでしょうか?

  • Git: リポジトリ全体がマークル木です。コミットはツリーを指し、ツリーはブロブを指し、すべてがSHA-1ハッシュで識別されます。だからGitは何かが変更されたことを即座に検出できるのです。
  • Bitcoin: 各ブロックにはすべてのトランザクションのマークルルートが含まれています。ライトクライアント(モバイルウォレットなど)は、フルブロックをダウンロードせずにマークル証明を使って特定のトランザクションを検証できます。
  • IPFS: InterPlanetary File Systemはファイルをチャンクに分割し、マークルDAG(有向非巡回グラフ)を構築し、ルートハッシュをファイルのコンテンツ識別子(CID)として使用します。
  • Certificate Transparency: GoogleのCertificate Transparencyログはマークル木を使用しており、誰でも証明書がログに記録されたか(または記録されていないか)を効率的に検証できます。

未来:ポスト量子ハッシュ関数

量子コンピュータがすべての暗号化を破るという話を聞いたことがあるかもしれません。確かに部分的には正しいです — RSA、ECC、Diffie-Hellmanは大規模な量子コンピュータが登場すれば終わりです。ショアのアルゴリズムは大きな数の因数分解と離散対数の効率的な計算ができ、これらのシステムはそれに依存しています。

しかし、驚くほど良いニュースがあります:ハッシュ関数は実は量子コンピュータに対してかなり安全です。 ハッシュ関数に対する主な量子脅威はグローバーのアルゴリズムで、非構造化空間を2次的に高速に探索できます。実際にはこれは、セキュリティビットが半分になることを意味します — SHA-256は量子攻撃に対して2^256から2^128の強度になります。

2^128は依然として途方もなく巨大な数です。これは観測可能な宇宙の原子数のおよそ2乗です。量子コンピュータがあってもなくても、誰もこれをブルートフォースで解くことはできません。

NISTはポスト量子暗号標準に積極的に取り組んでおり(2024年にいくつかを最終決定しました)、緊急性があるのは主に公開鍵暗号と署名であり、ハッシュ関数ではありません。今日SHA-256を使っているなら、量子コンピュータがそれを無用にしないと安心して眠れます。

ただし、本当に心配性な方は(暗号学では心配性は美徳です)、SHA-512やSHA3-256に切り替えることで追加の安全マージンが得られます。SPHINCS+のようなポスト量子署名方式は実際にハッシュ関数の上に完全に構築されており、その量子耐性に対する心強い信任投票と言えます。

ハッシュ衝突:誕生日攻撃の解説

コンピュータサイエンス全体で最も直感に反することの1つについて話しましょう:誕生日攻撃です。誕生日のパラドックスにちなんで名付けられており、ハッシュ関数が直感的に予想されるよりも大きくなければならない理由です。

誕生日のパラドックスとは:たった23人の部屋で、2人が同じ誕生日である確率が50%あります。特定の誕生日ではなく、任意の一致するペアです。70人になると確率は99.9%に跳ね上がります。ほとんどの人は約183人(365の半分)必要だと推測しますが、実際の数ははるかに少ないです。なぜなら、特定の衝突ではなく任意の衝突を探しているからです。

まったく同じ数学がハッシュ関数にも当てはまります。ハッシュ関数がN個の可能な出力を生成する場合、衝突を見つけるためにN個のハッシュを計算する必要はありません — 必要なのはおよそNの平方根だけです。

SHA-256のような256ビットハッシュの場合、2^256の可能な出力があります。衝突を見つけるにはおよそ2^128の演算(2^256の平方根)が必要です。これは依然として不可能なほど大きな数ですが、64ビットハッシュを使って済ませることができない理由です。

plaintext

MD5(128ビット)が崩壊したのはまさにこの理由です。衝突耐性はそもそも2^64しかなく、アルゴリズムの構造的弱点がそれをさらに低下させました。研究者たちは最終的に普通のラップトップで数秒で衝突を発見しました。

実用的な結論は?セキュリティに関連するものには常に少なくとも256ビットのハッシュ関数を使用してください。SHA-256、SHA3-256、BLAKE3はいずれも優れた選択肢です。そして、セキュリティ目的に64ビットや128ビットのハッシュの使用を提案する人がいたら、なぜそれがひどいアイデアなのか、今ならわかりますね。

自分で試してみよう

データのハッシュ値が気になりますか?MD5ハッシュジェネレーターSHA-256ハッシュジェネレーターSHA-512ハッシュジェネレーターを使ってみてください。テキストを貼り付けて、わずかな変更でもハッシュがまったく変わる様子を確認できます — これらのアルゴリズムの動作を直感的に理解する最良の方法です。