オープンソースの暗号化ソフト「GNU Privacy Guard」に脆弱性

　攻撃者がデジタル署名付きのメッセージにコンテンツを加えたり、ファイルに偽造署名を加えたりすることを可能にするセキュリティ脆弱性が2件、暗号化ソフトウェアに見つかった。

　この脆弱性は、オープンソースの「GNU Privacy Guard（GnuPG）」で見つかったもので、GnuPG.orgが警告を出している。同ソフトウェアは暗号化技術「Pretty Good Privacy」に代わる無償のオープンソースソフトウェアで、FreeBSD、OpenBSDなどの多くのLinuxディストリビューションにバンドルされている。

　この2つの脆弱性を発見したGentoo LinuxセキュリティチームのTavis Ormandy氏は米国時間3月10日、電子メールによるインタビューに応じ、この脆弱性がデジタル署名の価値にとって脅威となると書いている。たとえば、悪意あるハッカーが、電子メール経由で送られるセキュリティ警告に情報を付加したり、ソフトウェアアップデートに偽造したデジタル署名を付けるといった悪用が考えられるという。

　電子メール通信やデジタル署名ファイルを認証する際にGnuPGを利用する人にとって、今回の脆弱性はリスクとなる。またメッセージを受け取る人やファイルを利用するユーザーにとっても、なおさら危険だ。

　Ormandy氏によると、LinuxとUnixのディストリビューターの中には、顧客がセキュリティに関する発表が本物であることを確認できるよう、自分たちのセキュリティアドバイザリにGnuPGによるデジタル署名を施しているところが多いという。また、データが加工されることを防ぐため、ソフトウェアアップデートにGnuPGのデジタル署名を用いるディストリビューターもあるという。

　「GnuPGは、ファイルやメッセージを認証するさまざまな方法に用いられている」とOrmandyは書いている。「GnuPGがなければ、悪質なファイルをダウンロードするようアドバイスする偽のアドバイザリが頻繁に出回ることも考えられる」（Ormandy氏）

　GnuPG.orgでは、これらの脆弱性に対応したフィックスを公開している。さらに、同技術をソフトウェアに組み込んでいるGentoo FoundationやNovellなどの組織は、自分たちのソフトウェアに対応したアップデートを公開している。

　直近にみつかった脆弱性に対応するパッチは米国時間3月9日に公開された。このパッチが修正するのは、デジタル署名が施されたはずのメッセージにデータを挿入できてしまう、というもの。GnuPGのセキュリティアドバイザリによれば、こうした攻撃が行われても、GnuPGソフトウェアは、攻撃を検知できなかったという。

　Ormandy氏は、この1つ目の脆弱性を調査しているうちに、2つ目の脆弱性を発見したという。なお、1つ目の脆弱性を修正するパッチは、2月15日に公開されている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ