「WinRAR」のWindows 10へのインストールが一時的に不可能な状態に

by ImHoboTown

1995年から25年以上開発が続けられている圧縮解凍ソフト「WinRAR」のバージョン5.91が、2020年6月29日にリリースされました。しかし、このWinRAR バージョン5.91の電子署名証明書が証明機関から取り消されてしまい、一時的にWindows 10でインストールできなくなってしまったと、開発チームが報告しています。

Information on the revocation of WinRAR 5.91 digital certificate
https://www.rarlab.com/revoked591.html

WinRARのバージョン5.91は2020年6月29日にリリースされましたが、2020年8月頃からバージョン5.91がWindows 10でインストールできなくなっている問題が指摘されていました。

開発チームが調査した結果、WinRARの実行可能ファイルの電子署名に使われる電子署名証明書が取り消されていることが判明。このことが原因でインストールができなくなっていたというわけです。

開発チームは証明書を発行した証明機関に連絡し、理由を尋ねました。すると、「マルウェア検査を行うVirusTotalによる検査で引っかかったため、証明書が取り消された」という説明が返ってきたそうです。VirusTotalでは60種類以上のウイルススキャナーが使われており、その中の一部が「WinRARのバージョン5.91に問題あり」と診断したということでした。

by DennisM2

「25年にわたるWinRARの開発史の中で、海賊版ではなく公式のWinRARインストールパッケージがウイルス検査・マルウェア検査に引っかかったケースは何度もあったものの、それらはすべて誤検知でした」と、開発スタッフは述べています。バージョン5.91が誤検知された理由として、ヒューリスティックなウイルススキャナーが「自己解凍モジュールが自分の実行ファイルからデータを読み込んでディスクに書き込もうとしていることを不審と判断した可能性」あるいは「解凍コードが異なるディスクフォルダにたくさんのファイルを作成していると怪しんだ可能性」が挙げられるとのこと。もちろんいずれも圧縮解凍ソフトとしては一般的な動作です。

また、WinRARの解凍モジュールがマルウェアに含まれていたケースによって、WinRAR自体がマルウェアと判断されてしまった可能性もあります。スタッフは「WinRARはツールであり、他のツールと同様に、良いことに使われることもあれば、残念ながら悪いことに使われる場合もあります。いずれにしても、こうした誤検知を防ぐことは私たちには不可能です」と語っています。

開発スタッフは証明機関に誤検知の理由として考えられる可能性を説明しましたが、証明機関は「VirusTotalのウイルススキャナーに引っかからないことが電子署名証明書を再び有効化するための必要条件」の一点張りだったとのこと。一度発行された電子署名証明書が、外部のウイルススキャンサービスによって突然取り消されるケースはこれまでに始まったことではなく、同様の例が報告されています。

by DennisM2

さらに証明機関は「WinRARの電子署名証明書で署名されていたものの、ハッカーが使ったと思われる570MBもの謎の実行ファイルが失効の理由だ」という説明を返してきたそうです。開発スタッフは分析のために、その謎の実行ファイルを証明機関に要求したものの、すでに削除されてしまったとのこと。

最終的に残された手段は「新しい電子署名証明書を取得すること」のみだったため、開発スタッフは別の証明機関から新しく電子署名証明書を取得。記事作成時点で、証明書を更新したバージョン5.91のパッケージが公式サイトで配布されています。

今回の事例を受けて、開発スタッフは「疑わしいデータに基づいて証明書を取り消すと、認証システムの意味が薄くなります。完全に確実だといえない場合、証明機関は最初にクライアントに連絡をとるべきです。今回の証明書失効の場合、いっさい通知がありませんでした。私たちはユーザーからの報告で事態を把握したのです。また、特定の実行可能ファイルを根拠とするならば、その実行可能ファイルをクライアントと共有して分析可能にする必要もあります」と述べ、証明機関の対応を批判しました。