米Adobe Systemsのソフトウェアの署名に使われていたコードサイニング証明書が悪質なユーティリティの署名に利用されていたことが発覚し、同社は10月4日、問題の証明書を無効化し、新しい証明書を使って署名したソフトウェアのアップデートをリリースした。
Adobeによると、無効化されたのは2012年7月10日以降に全ソフトウェアのコード署名に使われた証明書。Windowsプラットフォーム向けの製品と、Adobe AIRアプリケーション3種類(Adobe Muse、Adobe Story AIR、Acrobat.comのデスクトップサービス、Windows版とMac版を含む)が影響を受ける。これ以外のMacなど、非Windowsプラットフォーム向け製品は影響を受けないという。
無効化されたコードサイニング証明書は、これまでのところ2種類の悪質なユーティリティのデジタル署名に利用されたと見られている。このうち「pwdump7 v7.1」はWindows OSからパスワードハッシュを抽出するユーティリティで、OpenSSLライブラリ「libeay.dll」の静的リンクファイルとして用いられることがある。もう1つの「myGeeksmail.dll」は悪質なISAPIファイルで、こちらは出回っている形跡はないという。
この問題でAdobeは、不正な署名が見つかったことを受けてただちにコード署名インフラの使用を停止し、調査に着手。その結果、コード署名インフラにアクセスしているビルドサーバが不正侵入されていたことが発覚した。不正利用された証明書の無効化は、9月27日に予告していた。
今回の問題はAdobeソフトウェアのセキュリティに影響を及ぼすものではなく、ソースコードや顧客情報などの重要情報が盗まれた形跡はないと同社は強調している。
Copyright © ITmedia, Inc. All Rights Reserved.