[KB0055] 複数のデジタル署名を持った実行ファイルに関する発行元情報の照合について

下記のように複数のデジタル署名を持った実行ファイルが起動されようとした場合かつ、信頼された発行元の確認対象のスペースルール（デフォルトではUS TPL/Private TPL/SS TPL等）からの起動であった場合、AppGuardはこの実行ファイルのデジタル署名に対してチェックを行います。

この時、以下の２つのチェックを順番に行う流れとなっています。
　① デジタル署名が不正なものでないか正常性を検証 ⇒ 全てのデジタル署名に対して行われます
　② デジタル署名に設定されている OLSC 情報がポリシーと合致しているか ⇒ 表示順で一番上のデジタル署名のみに対して行われます。

① デジタル署名が不正なものでないか正常性を確認
AppGuardは実行ファイルに設定されているデジタル署名の正常性を検証するため、Windowsにデジタル署名を確認するよう依頼します。

この時Windows側は実行ファイルに設定されている全てのデジタル署名をチェックし 一つでも不正の疑いがあった場合はエラーを返すため、一つでも検証エラーとなったものが含まれていた場合は 起動不可 と判定されブロック動作となります。
もし、デジタル署名の正常性検証がどのような理由でエラーとなったかを確認したい場合は、該当するデジタル署名の詳細情報を確認ください。

② デジタル署名に設定されているOLSC情報がポリシーと合致しているか
①の正常性検証でいずれも問題無しとなった場合、次の処理としてAppGuardの信頼された発行元リストに登録したOLSC情報との照合処理が行われます。
この時、デジタル署名が複数設定されていた場合、AppGuardにてOLSC情報の照合確認が行われるのは 「表示順で一番上のデジタル署名のみ」 となります。
　
例えば、以下画像のように sha256 のデジタル署名が２つ設定された実行ファイルの場合、①のデジタル署名のOLSC情報が信頼された発行元リストとして照合を行う対象となります。