B
今週中
Microsoftは、悪意のあるコードに正当な署名を付与して配布する「Malware-Signing-as-a-Service (MSaaS)」を運営していた脅…
📌 一言でいうと
Microsoftは、悪意のあるコードに正当な署名を付与して配布する「Malware-Signing-as-a-Service (MSaaS)」を運営していた脅威アクター「Fox Tempest」の活動を遮断しました。このサービスはMicrosoftのArtifact Signingシステムを悪用し、RhysidaランサムウェアやLumma Stealerなどのマルウェアを正当なソフトウェアに見せかけて配布していました。Microsoftはウェブサイトの差し押さえや仮想マシンの停止などの措置(OpFauxSign)を行い、数千台のデバイスへの影響を抑止しました。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- 社内で「Rhysida」という名称のランサムウェア被害報告や検知がある
- 社内で「Lumma Stealer」「Oyster」「Vidar」などのマルウェア検知履歴がある
- 不審なソフトウェアをインストールした直後に、PCの動作が著しく遅くなった、またはファイルが暗号化された
上記いずれにも該当しない → 静観でOK
✅該当時の対応
署名済みソフトウェアであっても、信頼できないソースからの実行ファイルを導入しないこと。エンドポイント検出および応答 (EDR) ツールを用いて、不審なプロセスの挙動を監視すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoftによるマルウェア署名サービス(Fox Tempest)の遮断について
お疲れさまです。Microsoftが実施した脅威アクターの活動遮断に関する情報共有です。
■ 概要
脅威アクター「Fox Tempest」が、Microsoftの署名システムを悪用してマルウェアに正当な署名を付与し、検知を回避させる「MSaaS (Malware-Signing-as-a-Service)」を運営していたことが判明しました。これにより、RhysidaランサムウェアやLumma Stealer、Vidarなどのマルウェアが正当なソフトとして配布されていました。
■ 影響範囲
- 正当なデジタル署名を信頼してソフトウェアを導入している全環境
■ 対応手順
1. EDR等のログを確認し、不審な署名付きバイナリの実行履歴がないか確認してください。
2. 信頼できないソースから提供された「署名済み」ソフトウェアの導入を禁止するポリシーを再徹底してください。
■ 参考情報
- Microsoft Digital Crimes Unit (OpFauxSign)
対応優先度: 中
対応期限: 随時
お疲れさまです。Microsoftが実施した脅威アクターの活動遮断に関する情報共有です。
■ 概要
脅威アクター「Fox Tempest」が、Microsoftの署名システムを悪用してマルウェアに正当な署名を付与し、検知を回避させる「MSaaS (Malware-Signing-as-a-Service)」を運営していたことが判明しました。これにより、RhysidaランサムウェアやLumma Stealer、Vidarなどのマルウェアが正当なソフトとして配布されていました。
■ 影響範囲
- 正当なデジタル署名を信頼してソフトウェアを導入している全環境
■ 対応手順
1. EDR等のログを確認し、不審な署名付きバイナリの実行履歴がないか確認してください。
2. 信頼できないソースから提供された「署名済み」ソフトウェアの導入を禁止するポリシーを再徹底してください。
■ 参考情報
- Microsoft Digital Crimes Unit (OpFauxSign)
対応優先度: 中
対応期限: 随時
Subject: [Intel] Disruption of Malware-Signing-as-a-Service (Fox Tempest)
Dear Team,
We are sharing information regarding Microsoft's disruption of a malicious signing operation.
■ Overview
Microsoft has dismantled a Malware-Signing-as-a-Service (MSaaS) operation run by the threat actor "Fox Tempest." The actor abused Microsoft's Artifact Signing system to provide legitimate signatures for malware, allowing threats like Rhysida ransomware, Lumma Stealer, and Vidar to bypass security controls by appearing as trusted software.
■ Scope
- All environments relying on digital signatures as a primary trust mechanism for software execution.
■ Recommended Actions
1. Review EDR logs for any unusual behavior from signed binaries that may indicate a compromise.
2. Reinforce policies against installing software from untrusted sources, regardless of the presence of a digital signature.
■ Reference
- Microsoft Digital Crimes Unit (OpFauxSign)
Priority: Medium
Deadline: Ongoing
Dear Team,
We are sharing information regarding Microsoft's disruption of a malicious signing operation.
■ Overview
Microsoft has dismantled a Malware-Signing-as-a-Service (MSaaS) operation run by the threat actor "Fox Tempest." The actor abused Microsoft's Artifact Signing system to provide legitimate signatures for malware, allowing threats like Rhysida ransomware, Lumma Stealer, and Vidar to bypass security controls by appearing as trusted software.
■ Scope
- All environments relying on digital signatures as a primary trust mechanism for software execution.
■ Recommended Actions
1. Review EDR logs for any unusual behavior from signed binaries that may indicate a compromise.
2. Reinforce policies against installing software from untrusted sources, regardless of the presence of a digital signature.
■ Reference
- Microsoft Digital Crimes Unit (OpFauxSign)
Priority: Medium
Deadline: Ongoing