SymDiag の脅威分析スキャンによる疑わしいファイルの特定 を行ったところ、あるファイルが疑わしいと診断された。しかし、そのファイルは証明書でデジタル署名されている。

デジタル署名から、このファイルが問題ないファイルと判断できるか知りたい。

デジタル署名があるからといって、ファイルが安全であるという保証にはなりません。シマンテックでは、多くの署名付きファイルを検知します。

デジタル署名があることは、通常は良い兆候です。ファイルが特定のソースに由来していることを通常は確認できます。しかし、純粋に悪意のあるマルウェアがデジタル署名されているケースも数多くあります。これらの中には、盗まれた証明書や、認証局への検証チェックに失敗した自己署名デジタル証明書で署名されたものもあります。

また、グレーウェア（Potentially Unwanted Applications：潜在的に望ましくないアプリケーション）ベンダーの中には、自社製品にデジタル署名を行うものがあります。これらのファイルは、そのベンダーから提供されたものであることを確認することができますが、通常、アプリケーションは、特にエンタープライズ環境では限られた利益しかもたらさない潜在的に望ましくない製品であるということです。

グレーウェアのすべて
All About Grayware では、潜在的に望ましくないアプリケーション (PUA) に分類されるソフトウェアと、それらに対するシマンテックの対応について説明しています。

シマンテックは、デジタル署名されたグレーウェアの .exe ファイルと .dll ファイルがセキュリティレスポンスに送信されて分析され、シマンテックの基準を満たしていることが判明した場合、これらのグレーウェアを検出します。Symantec Endpoint Protection (SEP) の管理者は、SEP が PUA にどのように対応するか（検出/ログ/無視）を選択できます。

ファイルへの電子署名はファイルの出所の確認に役立ちますが、ファイルへの電子署名を行う正規のソフトウェアベンダーの製品であっても、製品が評価ベースで検出（新しいファイルや不明なファイル、評価が低いファイルに対する検出）されてしまう場合があります。

このような場合、ベンダーはシマンテックのホワイトリスティングプログラムに参加することをお勧めします。ホワイトリスティングプログラムでは、公開前にシマンテックがソフトウェアの安全性を確認します。

• Adding software to the Symantec Whitelist

[英語文書] Can digitally signed files be malware?