「Thunderbird 91.9.0」が公開 ～互換性維持のためにOpenPGP署名でSHA-1を一部許可

「Thunderbird」v91.9.0

　オープンソースのメールソフト「Thunderbird」の最新版v91.9.0が、5月3日（米国時間）に正式公開された。本バージョンでは、OpenPGP機能に変更が加えられている。

　「Thunderbird」は「OpenPGP」を標準でサポートされており、わざわざ拡張機能などを導入しなくてもデジタル署名と暗号化メールを手軽に扱える。

　これを実現するために「Thunderbird」は内部でオープンソースのライブラリ「RNP」を使用しているが、「Thunderbird 91.8.0」に含まれる「RNP 0.16.0」では、「MD5」（すべて）や「SHA-1」（2019年1月中旬以降に作成されたメッセージのみ）を拒否する変更が加えられていた。これらのハッシュアルゴリズムはもはや古く、安全であるとは言えない。

　しかし、この影響で「OpenPGP」鍵を利用できなくなったユーザーが予想以上に多かったという。そこで本バージョンでは互換性を考慮し、「SHA-1」の利用を再び認める変更が加えられた。

　ただし、これはあくまでも移行に猶予を与えるための措置で、「SHA-1」が非推奨であることには変わりない。署名に「SHA-1」が用いられている場合は、公開鍵に警告が表示される。また、「MD5」は引き続きブロックされる。

　開発チームは公開鍵にこの警告が表示されたら、通信相手に「SHA-1」を使わないように鍵をアップグレードするか、新しい鍵に切り替えるよう依頼してほしいとしている。

　その他の修正は、以下の通り。

• macOS ディスクイメージのグラフィックをアップデート
• CalDAVカレンダーが起動時に読み取り専用になることがあった
• macOSのタスク作成フィールドで、検索アイコンが正しく表示されないことがある

　なお、本バージョンではセキュリティ問題への対応も行われているので注意。修正された脆弱性は全部で8件で、深刻度の内訳は「High」が5件、「Moderate」が2件、「Low」が1件となっている。「Thunderbird」ではJavaScriptが既定で無効化されているため、「Firefox」ほどの脅威にはならないケースが多いが、できるだけ早めに対処しておきたい。

　「Thunderbird」はWindows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、Windows版はWindows 7以降で利用可能。現在、公式サイト「thunderbird.net」からダウンロードできるほか、Windows版は窓の杜ライブラリからもダウンロード可能。すでに利用している場合は、自動更新機能でアップデートされる。