9月17日(オランダ時間)、Tweakersに掲載された記事「D-Link blundert met vrijgeven privésleutels van certificaten」が、D-Linkが誤って証明書の秘密鍵をオープンソースのファームウェアパッケージに同梱した状態で配布していたと伝えた。この秘密鍵はマルウェアの開発者によって悪用され、マルウェアを正当なソフトウェアと見せかけるために使われてきたと説明がある。
D-Linkは自社のプロダクトで使用するソフトウェアの多くをGPLのもとでオープンソース・ソフトウェアとして公開している。今回指摘されているのは、これら公開されているソフトウェアに本来公開してはいけない秘密鍵が含まれていたということで、マルウェアの開発者はこの秘密鍵を悪用してマルウェアに正当に見える証明書を付けることができる状態になっていたという。意図的に公開したものではなく、誤って公開されたものと見られる。
そのため、たとえWindowsが対象のソフトウェアを証明書付きの適切なソフトウェアであると判断した場合でも、実はそのソフトウェアはこの秘密鍵を使って署名されたマルウェアである可能性も出てくる。
