オープンソースの暗号化ソフトウェア「TrueCrypt」に新たな脆弱性が報告された。TrueCryptは2014年に開発が打ち切られたが、ユーザーがまだインストールしたままでいれば、脆弱性を悪用される可能性もある。

今回の脆弱性は、米Googleの研究者ジェームズ・フォーショウ氏が発見した。同氏は詳細を公表していないものの、TrueCryptからフォークした暗号化ツールの「VeraCrypt」は9月26日に更新版を公開し、フォーショウ氏が発見したTrueCryptの2件の脆弱性を修正したことを明らかにした。

研究者が公開した脆弱性情報

2件ともTrueCryptのWindows向けドライバに関連する脆弱性で、ローカルの権限昇格に利用される恐れがあり、1件については危険度「Critical」と評価されている。

Kaspersky Labのニュースサービス「threatpost」によれば、VeraCryptの開発者はこの脆弱性がマルウェアに利用される可能性もあると指摘。「もしTrueCryptがインストールされていれば、たとえボリュームがマウントされていなくても、サーバ攻撃にも利用できる。一般ユーザーのアカウントを制御してリモートでアクセスし、そこからこの脆弱性を悪用して管理者権限を取得することが可能だ」と解説している。

TrueCryptはファイルやフォルダ暗号化の定番ツールとして普及していたが、2014年5月に突然、「TrueCryptの使用は安全ではない。未解決のセキュリティ問題がある」という警告が表示され、開発終了が宣言された。

この時点で行われたTrueCryptのコードのコミュニティ監査では、特に重大な問題は見つからなかったと伝えられていた。今回の脆弱性はこの監査で見落とされたのではないかと関係者は推測している。

Copyright © ITmedia, Inc. All Rights Reserved.