TrueCrypt を使用してハード ドライブを暗号化している Windows ユーザーには、深刻なセキュリティ上の問題があります。研究者がこのプログラムに 2 つの重大な欠陥を発見しました。
TrueCryptはオリジナルの開発者によって開発が中止されたかもしれませんが、Windows向けの数少ない暗号化オプションの一つとして今も残っています。そのため、研究者たちはTrueCryptとその派生プログラムに潜む脆弱性を見つけることに関心を寄せています。
広く使用されているソフトウェアの脆弱性を定期的に発見している Google の Project Zero チームのメンバーである James Forshaw 氏は最近、TrueCrypt が Windows システムにインストールするドライバーに 2 つの脆弱性を発見しました。
この欠陥は、TrueCrypt ソースコードに対する以前の独立した監査では見逃されていたようですが、攻撃者が制限されたユーザーアカウントにアクセスできる場合、システムで昇格した権限を取得できる可能性があります。
TrueCrypt のオリジナル作者は匿名のまま、2014 年 5 月に「未修正のセキュリティ問題が含まれている可能性がある」と警告してプロジェクトを突然終了し、特定のバージョンの Windows で利用できる Microsoft のフルディスク暗号化機能である BitLocker に切り替えるようユーザーにアドバイスしました。
さらに読む:TrueCryptに代わる5つの暗号化ツール:データをロックダウン
当時、TrueCryptのソースコードと暗号実装の専門的なセキュリティ監査を実施するためのクラウドファンディングによる取り組みが既に開始されていました。TrueCryptドライバやその他の重要なコード部分を分析する第1フェーズは、TrueCryptがサポート終了となった時点で既に完了していました。監査チームは、プログラムに重大な問題や意図的なバックドアの証拠は発見しませんでした。
Forshaw 氏が発見した新しい欠陥が意図的に導入されたのかどうかは分かりませんが、専門家によるコード監査にもかかわらず、深刻なバグが発見されない可能性があることを示しています。
情報保証会社NCCグループの子会社iSEC Partnersのセキュリティエンジニアが実施したTrueCrypt監査プロジェクトの第1フェーズでは、ドライバコードが対象となったが、「Windowsドライバは複雑なモンスター」であり、ローカル権限昇格の脆弱性を見逃しやすいとForshaw氏はTwitterで述べた。
Google の研究者は、2 つのバグについての詳細をまだ明らかにしていないが、通常はパッチがリリースされてから 7 日間待ってからバグレポートを公開すると述べている。
IDGNS デジタルキー
TrueCryptは現在アクティブなメンテナンスが行われていないため、バグはプログラムコード内で直接修正されません。ただし、TrueCryptのコードをベースにしたオープンソースプログラムであるVeraCryptでは、バグは修正されています。VeraCryptは、元のプロジェクトの継続と改善を目的としています。
土曜日にリリースされたVeraCrypt 1.15には、CVE-2015-7358およびCVE-2015-7359として特定された2つの脆弱性に加え、その他のバグに対するパッチが含まれています。開発者はCVE-2015-7358の脆弱性を「重大」とのみ評価し、「ドライブレター処理の悪用」によって悪用される可能性があると述べています。
TrueCryptやVeraCryptのユーザーは依然として多く、Windowsシステムパーティションを含むハードディスク全体を暗号化できる数少ない無料オプションの一つです。MicrosoftのBitLockerは、多くのコンシューマー向けノートパソコンにプリインストールされているWindows Homeエディションでは利用できません。また、システムパーティションを暗号化できる他のプログラムのほとんどは有料ライセンスが必要です。
TrueCryptをまだ使用しているユーザーは、できるだけ早くVeraCryptに切り替えることをお勧めします。この2つの脆弱性に対するパッチに加え、VeraCryptには前バージョンに比べてセキュリティ面での改善がいくつか施されています。
