人気のオープンソース暗号化プログラム「TrueCrypt」は水曜日、突然、ユーザーに対し、同社製品の使用を中止し、Microsoft の Bitlocker に移行するよう推奨した。
TrueCrypt の Web ページは SourceForge リポジトリにリダイレクトされ、次のような警告が表示されました。
「警告:TrueCryptの使用は安全ではありません。未修正のセキュリティ問題が含まれている可能性があります」とページ上部の注意書きに記載されています。「このページは、TrueCryptで暗号化された既存のデータの移行を支援するためだけに存在します。」
マーク・ハックマンサイトはさらにこう続けている。「TrueCryptの開発は、MicrosoftがWindows XPのサポートを終了した2014年5月に終了しました」。「Windows 8/7/Vista以降では、暗号化ディスクと仮想ディスクイメージの統合サポートが提供されています。このような統合サポートは他のプラットフォームでも利用可能です(詳細はこちらをクリックしてください)。TrueCryptで暗号化されたデータは、お使いのプラットフォームでサポートされている暗号化ディスクまたは仮想ディスクイメージに移行する必要があります。」
このページでは、TrueCryptから暗号化されたBitLockerドライブにデータを移行する方法についても説明しています。(注:BitLockerはWindows 7 ProおよびUltimateエディション、そしてWindows 8.1 ProおよびWindows 8.1 Enterpriseでのみ利用可能であるため、このソリューションの用途は限られていると読者のWesley Novack氏は指摘しています。)
PCWorldユーザーに長年人気のセキュリティ対策ソフトであるTrueCryptが、先日セキュリティ監査の第1ラウンドを通過したばかりだったことを考えると、今回の動きは特に不可解だった。監査を実施したiSec社は11件の欠陥を発見したが、すぐに悪用されるようなものはなかった。iSec社は、それ以外については「バックドアや意図的な欠陥の証拠は見つからなかった」と述べている。
ジョンズ・ホプキンス大学で暗号解析学を教え、監査にも携わったマシュー・グリーン氏は、今回の変更はハッキングではなく、開発者による正当な退出行為だと考えているとツイートした。グリーン氏は開発者に連絡を取ろうとしたが、まだ返答がないと述べた。しかし、 The Register紙は、TrueCryptの最新バージョンが侵害を受けている可能性があると報じている。
Truecryptから最後に聞いたのは、「監査フェーズ2の結果を楽しみにしています。改めて、ご尽力いただき、誠にありがとうございます!」でした。
— マシュー・グリーン(@matthew_d_green)2014年5月29日
その間、TrueCrypt をダウンロードしようとしていたユーザーは、詳しい情報が明らかになるまで待つのが最善でしょう。
このストーリーは5月29日午前9時38分に詳細を追加して更新されました。
