ニュース
無料暗号化ソフト「VeraCrypt」に深刻な脆弱性、更新版で修正
TrueCryptを起源とする暗号化ソフト「VeraCrypt」のセキュリティ監査で、複数の重大な脆弱性が見つかった。
無料ディスク暗号化ソフト「VeraCrypt」について、フランスのセキュリティ企業QuarksLabが10月17日に監査結果を公表し、複数の重大な脆弱性を発見したと発表した。
VeraCryptは既に開発が打ち切られたTrueCryptを起源とする暗号化ソフト。今回の監査はVeraCryptで導入されたセキュリティ機能を検証する目的で、Open Source Technology Improvement Fund(OSTIF)がスポンサーとなって、VeraCrypt 1.18とブートローダーを対象に実施された。
OSTIFによると、監査の結果、重大な脆弱性が8件、中程度の脆弱性が3件見つかり、危険度の比較的低い問題も15件発見された。脆弱性の大部分は、更新版のVeraCrypt 1.19で修正されたという。
QuarksLabのブログでも、特に危険度の高い暗号関連の脆弱性はVeraCrypt 1.19で修正予定と伝えている。
一方で、複雑性が高く、コードやアーキテクチャに相当の変更を要するAES実装関連の脆弱性など、一部の問題はまだ修正されていない。悪用されれば攻撃を受ける可能性もあるとされ、こうした問題については回避策を紹介している。
関連記事
- 暗号化ツールTrueCryptに新たな脆弱性、特権取得の恐れも
TrueCryptは2014年に開発が打ち切られたが、ユーザーがまだインストールしたままになっていれば、脆弱性を悪用される可能性もある。 - 暗号化ツールTrueCryptに突然の終了宣言、「セキュリティ問題」を警告
「TrueCryptの使用は安全ではない。未解決のセキュリティ問題がある」という突然の警告があった。事実関係は分かっていない。 - Truecrypt攻撃のコンセプト実証コード、「メイド攻撃」実行の恐れ
暗号化した仮想ドライブの作成に使われる「Truecrypt」の攻撃コンセプト実証(PoC)コードは、パスワードを盗み出す機能を持っているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.