ニュース

暗号化ソフトTrueCryptは「安全ではない」

〜匿名開発者が突然プロジェクトを中止

 オープンソースのディスク暗号化ソフト「TrueCrypt」ウェブサイトに28日頃から奇妙なメッセージが表示されるようになった。セキュリティー専門家たちの分析により、このメッセージは開発者本人によるものと推定された。その結果、TrueCryptの開発は実質的に中止されることになったと考えられている。理由は不明だ。

 TrueCryptは米国国家安全保障局NSAのエドワード・スノーデン氏のリーク事件に伴い、内部告発者やジャーナリストたちが利用し、信頼しているソフトとして一般にも広く知られるようになった。

 28日頃に、「truecrypt.org」ウェブサイトが急にプロジェクトをホスティングしているsourceforge.netのページに転送されるようになった。

 転送先のページには以下のメッセージと、Windowsユーザーに対してMicrosoftの暗号化ソフトであるBitLockerに移行するよう勧める手順書が書かれている。

「警告:修復されていないセキュリティ上の問題が含まれている可能性があるため、TrueCryptの使用は安全ではない。このページは、TrueCryptにより暗号化された既存データ移行を助けるためだけに存在している。」

 「TrueCryptの開発は、MicrosoftがWindows XPのサポートを終了した2014年5月の後に終了した。Windows Vista/7/8/8.1では、暗号化ディスクと仮想ディスクイメージが統合的にサポートされている。こうした統合化サポートは、他のプラットフォームでも使用することができる。TrueCryptで暗号化されたすべてのデータは、暗号化されたディスクや使用しているプラットフォームでサポートされる仮想ディスクイメージに移行する必要がある。」

転送先のページ

 当初、これはハッキング被害かと考えられた。しかし、専門家たちによるホスティング履歴やDNSレコード等様々な解析の結果、TrueCrypt開発者自身による行動であり、ハッキング被害ではないと確信されるようになった。

 特に、現在ホスティングされている最新版TrueCryptのデジタル署名が正当であることも、この考えを追認している。そしてこの最新バージョン(バージョン7.2)では、暗号化機能は削除されており、解読機能しか提供されていない。

 そのため、TrueCryptプロジェクトは「正式」に終了したと考えられる。TrueCryptの開発たちは、これまで素性を明らかにしたことはなかった。現在もその素性は明らかになっていない。

 TrueCryptについては、昨年米国ジョンズホプキンス大学の暗号学専門家であるMatthew D. Green教授がクラウドファンディングにより、TrueCryptの安全性を監査するプロジェクト「OpenCryptAudit」を発足。多くの寄附が集まり、TrueCrypt公開以来初めての初めての監査が行われていた。この第一段階の監査結果は今年4月に公開され、TrueCryptのブートローダーとカーネル部分に大きなバグは含まれていないことが明らかになっていた。この報告書はPDFファイルとして公開されている。

 こうした作業を進めるなかで、Green氏はTrueCrypt開発者へメールでの接触を試みたが、失敗したという。現時点でTrueCrypt開発中止の動機は全く不明だ。

 突然の開発中止には、様々な理由が臆測されている。政府機関によるバックドア組み込みの圧力、TrueCrypt開発たちの身元暴露の危険、今後行われる予定だった第ニ段階監査の影響等が主な内容だ。しかしいずれも根拠は示されていない。

 TrueCryptユーザーができることに関して、今のところ統一的な見解はなさそうだ。ただ、このような問題に発展したことを考えれば、安心して使えそうにないと考えるのは妥当に思える。

 ハードディスク暗号化ソフトとして利用できる他の選択肢として、MicrosoftのBitLockerのほか、Mac OS X環境ではFileVaultなどが利用可能だ。ただTrueCryptのようにマルチプラットフォームな暗号化ソフトではない。

(青木 大我 taiga@scientist.com)