無料ディスク暗号化ソフト「VeraCrypt」について、フランスのセキュリティ企業QuarksLabが10月17日に監査結果を公表し、複数の重大な脆弱性を発見したと発表した。
VeraCryptは既に開発が打ち切られたTrueCryptを起源とする暗号化ソフト。今回の監査はVeraCryptで導入されたセキュリティ機能を検証する目的で、Open Source Technology Improvement Fund(OSTIF)がスポンサーとなって、VeraCrypt 1.18とブートローダーを対象に実施された。
OSTIFによると、監査の結果、重大な脆弱性が8件、中程度の脆弱性が3件見つかり、危険度の比較的低い問題も15件発見された。脆弱性の大部分は、更新版のVeraCrypt 1.19で修正されたという。
QuarksLabのブログでも、特に危険度の高い暗号関連の脆弱性はVeraCrypt 1.19で修正予定と伝えている。
一方で、複雑性が高く、コードやアーキテクチャに相当の変更を要するAES実装関連の脆弱性など、一部の問題はまだ修正されていない。悪用されれば攻撃を受ける可能性もあるとされ、こうした問題については回避策を紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR