写真●マルウエア「Word13.exe」の署名と証明書
写真●マルウエア「Word13.exe」の署名と証明書
[画像のクリックで拡大表示]

 シマンテックは2013年6月17日、同社のブログで偽の証明書を使ったマルウエアが出回っていると注意喚起している。同社が発見したマルウエアのファイル名は「Word13.exe」。Adobe Acrobatのアイコンが設定され、アドビシステムズを名乗るデジタル署名がされている実行形式のファイルだ。

 ファイルのプロパティからデジタル署名を確認すると、「Adobe Systems Incorporated」を発行者とする証明書が付いている。しかし、この証明書は偽物。アドビシステムズはシマンテックのベリサイン製品の顧客のため、正規のアドビ製品はこうした表記にならない。証明書の情報を見ると、CAルート証明書が信頼できないことも分かる(写真)。

 このファイルはバックドア型のトロイの木馬である。インストールするとコンピュータ内の情報を盗み出したり、勝手にファイルを作成したり、スクリーンショットを取得したり、マウス機能をエミュレートしたりする。感染したコンピュータが遠隔操作されてしまう形だ。

 シマンテックはこうしたマルウエアの被害を避けるため、セキュリティソフトの定義ファイルを最新にすること、ファイルをダウンロードする際はURLを確認すること、必要に応じて証明書と署名を確認することを推奨している。