D-Link、証明書の秘密鍵を誤って公開

9月17日(オランダ時間)、Tweakersに掲載された記事「D-Link blundert met vrijgeven privésleutels van certificaten」が、D-Linkが誤って証明書の秘密鍵をオープンソースのファームウェアパッケージに同梱した状態で配布していたと伝えた。この秘密鍵はマルウェアの開発者によって悪用され、マルウェアを正当なソフトウェアと見せかけるために使われてきたと説明がある。

D-Linkは自社のプロダクトで使用するソフトウェアの多くをGPLのもとでオープンソース・ソフトウェアとして公開している。今回指摘されているのは、これら公開されているソフトウェアに本来公開してはいけない秘密鍵が含まれていたということで、マルウェアの開発者はこの秘密鍵を悪用してマルウェアに正当に見える証明書を付けることができる状態になっていたという。意図的に公開したものではなく、誤って公開されたものと見られる。

そのため、たとえWindowsが対象のソフトウェアを証明書付きの適切なソフトウェアであると判断した場合でも、実はそのソフトウェアはこの秘密鍵を使って署名されたマルウェアである可能性も出てくる。該当するベンダから適切なアップデートが提供されるまでは、外部からソフトウェアをダウンロードしてインストールする場合は信頼できるサイトから取得したものか確認するなど、いつも以上に注意する必要がある。