5/31/2014

[IT] TrueCryptの開発が突如として終了

何事ぞ?と俄に騒がしいセキュリティ周辺のニュースをよくよく見てみると、フリーのドライブ暗号化ソフトTrueCrypt開発プロジェクトの中止が一切の予告もなく突然宣言され、その旨公式HPに表示されているそうです。そして大勢の利用者が大混乱と。

告知文には脅迫じみた「もう安全ではない」旨も含まれていて、BitLocker等の他製品への乗り換えが推奨されています。まだ実際に脆弱性が発見されたわけではないのですが、用途が秘匿化だけにそのリスクは潜在的にせよ許容できないでしょうから、これは事実上の強制と言うべきでしょうね。

只でさえ面倒極まりない移行作業を強いる時点で極悪なのですが、なお性格が悪いのは、TrueCryptはマルチOS対応なのに対して、移行を推奨されたBitLockerはWindows専用な点ですね。Windows以外で使用しているユーザは切り捨て御免ですか。恐ろしや。

しかも、今回の中止の理由は、セキュリティ研究者のSteve Gibsonがで本件当事者を代弁して曰く、「飽きたから」だそうで。どういう了見かと絶句するよりありません。ボランティアである以上、いつ止めるも権利であり自由だとしても、現実に多数の利用者がいて、そこに一定の信用に基づく活動がある以上、それなりの責任というものは当然にあるわけで。少なくとも、猶予期間の設定と、あと最低限のサポートの引き継ぎはされて然るべきところ、面倒だしライセンス上の諸々から引き継ぎも困難だから全部単に放り出して後は知らない、というのも最低です。ユーザ側に発生する理不尽な損失、その程度には恨みを買う事も避けられないでしょう。それでも気にしないという事なんでしょうけど、どんな人非人かと。

開発再開のため、ライセンス上の問題回避策を模索する向きもあるとの事ですが、仮にそれに成功したとして、オリジナルの権利者がこの有様では、いつ気紛れに権利を主張し出して紛争に至るかも知れないし、本プロジェクトは限りなく終わってしまったものと考えざるを得ません。個人に依存したソフト開発における致命的欠陥の一つであるところの継続性の欠如が最悪の形で顕在化した事例と言えるでしょう。折角ここまで育ったというのに、あっけなくも残念な事です。

OpenSSLの件といい、フリーのソフトはこれだから油断なりません。当然の事ですが、そういう不安定で信用出来ないものだと理解し、あらかじめバックアッププランも用意した上での運用を厳に守らなければいけない、とそういう事なのでしょう。タダより高いものはなし。そうでなければ、本件ユーザのように早晩深刻な問題になって跳ね返ってくる事は殆ど避けられないのですから。

TrueCrypt development stopped amid a cloud of mystery

これ、TrueCryptは元々NSAの盗聴に絡む疑惑すなわちバックドアの存在が疑われていて、その有無を監査するオープンなチェックが進められていた所に起こった事件であり、その上開発者が匿名である事等から、その種の致命的な不正が発覚する前に逃亡もしくは口封じが図られた結果だ、とかいう陰謀論染みた説がまことしやかに流されているようで。別に証拠があるわけではなく、他にもWindows版バイナリの再現にも成功し、その上で特に問題は発見されなかった、との報告もあるようですから、現時点ではその種の疑惑は単なる憶測に過ぎませんが、経緯からしてそう疑われても仕方ないところでしょう。本件はその辺の調査で身元が発覚する事を嫌っての事なのかも知れませんね。

しかし、仮に疑惑が本当であれば、そのバックドアが意図的なものにせよそうでないにせよ、結局のところTrueCryptが安全ではない事は事実になるし、放り出したというよりは単に悪事を自白しその中止を図ったに過ぎないものとも言えるわけで。そして、本来秘匿される筈だった全データが、そのための本ソフト導入によって逆に全漏れになってしまっていたという事になるわけです。利用者にとっては最悪の上にも最悪ですね。この上は、早急にその監査確認が実施され、真偽が明らかにされる事が望まれるところですが、さて真実は如何に。

[関連記事 [IT] OpenSSL脆弱性で三菱UFJニコスから個人情報大量漏洩]
[関連記事 [IT] OpenSSLに深刻な脆弱性、通称Heartbleed]