弊社では、Windows 版の弊社アプリケーションで利用しているコードサイニング証明書の不正利用と思われる報告を調査しました。これに伴い、2012 年 7 月 10 日(米国時間)以降に署名された、該当するソフトウェアに含まれる影響を受けた証明書を 2012 年 10 月 4 日(米国時間)に失効させました。
影響を受けた証明書の失効
Q:証明書を失効させたのはなぜですか?
A:アドビの正規ソフトウェアの信頼性を維持するため、2012 年 7 月 10 日(米国時間)以降に署名された、該当するソフトウェアに含まれる影響を受けた証明書を 2012 年 10 月 4 日(米国時間)に失効させました。弊社は、影響を受けるすべての製品を対象として、新しいデジタル証明書で署名されたアップデートを提供するために、準備を進めています。
コードサイニング証明書について
Q : コードサイニング証明書とは何ですか?
A : コードサイニング証明書は、電子署名技術を利用しています。プログラムが署名されることにより配布元が保証されます。加えて署名された時点からプログラムが変更されていないことが証明されます。
Q : コードサイニング証明書の仕組みは?
A : 電子署名は、コードの暗号化と認証に公開鍵暗号化技術を利用します。
- 開発者は、電子署名コードまたは秘密鍵をコードサイニング証明書に追加します。
- お客様がアプリケーションをダウンロードするときや署名されたコードを検出したときにお客様のシステムまたはアプリケーションが公開鍵を利用して署名を解読します。
- システムは、ルート証明書の信頼性を確認または署名の承認を行います。
- システムは、アプリケーションの署名に利用されたハッシュ値とダウンロードしたアプリケーションのハッシュ値を比較します。
- システムがルート証明書を信頼しハッシュ値が一致すると、ダウンロードが継続されるか、実行が継続されます。
- システムがルート証明書を信頼しないか、ハッシュ値が一致しない場合、システムはダウンロードを中止し警告を表示します。またはダウンロードが失敗します。
Q : コードサイニング証明書は、コードの署名以外に利用することができますか?
A : いいえ、できません。すべての電子証明書は、それらの使用目的を制限するためのマークを保持しています。コードサイニング証明書はコードサイニングプログラムに限定して使用することができます。これらの証明書は、データの暗号化、ドキュメントの署名、または電子メールに使用すること、またはプログラムを署名する以外のいかなるものにも使用することはできません。
お客様への影響について - セキュリティ
Q : 証明書の失効は、セキュリティの脆弱性または Adobe 製品の欠陥が原因だったのですか?
A : いいえ、違います。この問題は、お客様がご利用中の Adobe ソフトウェアのセキュリティに一切影響を及ぼすことはありません。
Q : ユーザーに対するその他のセキュリティに関するリスクが存在していますか?
A : 弊社は、この問題がお客様に対してセキュリティ上のリスクがないと確信しています。弊社は、証明書を使用した 2 個の悪意をもったユーティリティを発見しましたが隔離された環境でした。つまり広域感染するようなマルウェアに証明書は使用されていなかったということです。
Q : 使用するアプリケーションに脆弱性が無くても更新の必要があるのはどうしてですか?
A : 弊社は、アプリケーションの証明書が失効することで、お客様に何らかの影響があるかもしれませんのでアップデートを公開しております。新しいデジタル証明書で署名したアップデートがアドビソフトウェアのインストールに使用できるかどうかを判別するには、「コードサイニング証明書について」を参照してください。
お客様への影響について - 失効
Q : この証明書の失効は、すべてのプラットフォーム上の Adobe ソフトウェアに影響を及ぼすのですか?
A : いいえ、影響しません。この証明書の失効は、Windows プラットフォームおよび Windows と Mac OS の両方で実行する 3 つの Adobe AIR アプリケーション* に影響を及ぼします。Mac OS またはその他のプラットフォーム向けの Adobe ソフトウェアには影響を及ぼしません。
* Windows および Mac OSの両方で実行する、Acrobat.com デスクトップサービスを含む、Adobe Muse および Adobe Story AIR アプリケーションは除外します。
Q : この影響が及ぶ証明書の失効は、サードパーティ Adobe AIR アプリケーションにどのような影響を及ぼすのですか?
A : いいえ、影響しません。この証明書の失効は、Adobe により開発され、今回のコードサイニング証明書を使用して署名された AIR アプリケーションにのみ影響を及ぼします。弊社は、新しい Adobe コードサイニング証明書で署名されたこれらのアプリケーションへのアップデートを準備中です。
Q :この証明書が失効した後で、この証明書を使用して署名された Adobe アプリケーションを利用しているお客様にはどのような影響がありますか?
A : この証明書の失効を気づかれるお客様は少ないと思います。お客様の中には、特に Windows 環境を管理している IT 管理者の方々など、特定のアクションを実行する必要がある場合があります。ご自分やご自分の組織が失効の対象であるかどうかを判別するには、「コードサイニング証明書について」をご覧ください。
Q : Adobeアプリケーションに脆弱性が無く、お客様が証明書の失効を気づかれることが無いとすれば、Adobeアプリケーションを更新する必要があるという理由は何ですか?
A : 弊社は、アプリケーションの証明書が失効することで、お客様に何らかの影響があるかもしれませんのでアップデートを公開しております。新しいデジタル証明書で署名したアップデートがアドビソフトウェアのインストールに使用できるかどうかを判別するには、「コードサイニング証明書について」を参照してください。