「TrueCryptの使用は安全ではない。未解決のセキュリティ問題がある」という突然の警告があった。事実関係は分かっていない。
ファイルやフォルダ暗号化の定番ツールとして普及していたオープンソースソフトウェア「TrueCrypt」のダウンロードページに突然、「TrueCryptの使用は安全ではない。未解決のセキュリティ問題がある」という警告が表示された。この通告の理由や真偽を巡り、ネットは騒然となっている。
この告知はSourceforge(英語版)上のTrueCryptダウンロードページに5月28〜29日ごろに掲載され、次のように続けている。
「TrueCryptの開発は、MicrosoftがWindows XPのサポートを打ち切ったことを受け、2014年5月で終了した。Windows 8/7/Vista以降には暗号化ディスクと仮想ディスクイメージのサポートが組み込まれている。そうしたサポートは他のプラットフォームでも利用できる。TrueCryptで暗号化されたデータは、あなたのプラットフォームでサポートされた暗号化ディスクや仮想ディスクイメージに移行する必要がある」
同ページではさらに、MicrosoftのBitlockerに移行する方法を紹介するとともに、「TrueCrypt 7.2」のダウンロード用リンクも警告付きで掲載された。TrueCrypt 7.2は別の製品への移行を支援するために、TrueCryptで実装された暗号を解除する機能しか持たないようだと伝えられている。
突然の警告を巡ってネット上では、何者かがTrueCryptのページを改ざんしたのではないかとのうわさも飛び交った。しかしSANS Internet Storm Centerによれば、TrueCrypt 7.2はTrueCryptの正規の署名鍵で署名され、PGP署名も正規のものと思われるという。TrueCryptに直接かかわる関係者の発言は伝えられていない。
Truecryptでは最近、国家安全保障局(NSA)によるネット監視の実態が発覚したことを受け、コードにバックドアが仕込まれていないかどうかなどをチェックするコミュニティ監査が行われていた。しかし、これまでのところ、特に重大な問題は見つからなかったと報告されている。
SANSではユーザーが現時点でできることとして、TrueCryptで暗号化したオフラインメディアにアクセスする必要が生じた場合に備えて機能する直近のバージョンをCDに記録したうえで、代替のツール(WindowsではBitlocker、OS XではFileVault、LinuxではLUKS)を探すよう助言している。
Copyright © ITmedia, Inc. All Rights Reserved.