C
月内に
マイクロソフトは、悪意のあるソフトウェアにデジタル署名を付与するサービス(MSaaS)を運営していた攻撃グループ「Fox Tempest」を解体したと発表しまし…
📌 一言でいうと
マイクロソフトは、悪意のあるソフトウェアにデジタル署名を付与するサービス(MSaaS)を運営していた攻撃グループ「Fox Tempest」を解体したと発表しました。このグループはマイクロソフトのArtifact Signingシステムを悪用して偽造証明書を作成し、RhysidaやAkiraなどの著名なランサムウェア組織に提供していました。これにより、悪意のあるプログラムがセキュリティ検知を回避して数千台のコンピュータに感染したとされています。マイクロソフトは1,000以上の偽造証明書を失効させ、法的措置を講じています。
🔍該当判定
- Rhysida, INC, Qilin, Akiraなどのランサムウェア攻撃を受けた形跡がある
- 不審な広告や検索結果からソフトをダウンロードし、社内PCで実行した
- Microsoft 365やAzureを利用しており、身に覚えのない不審なサイン(署名)付きのプログラムが動作している
- 社内で利用しているセキュリティソフトが、Microsoftの署名付きファイルであるにもかかわらず検知・警告を出している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
デジタル署名があるファイルであっても、信頼できないソースからの実行を禁止し、EDR等の振る舞い検知ベースのセキュリティ対策を強化すること。また、不審な広告やSEOポイズニングによる誘導に注意すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】悪意のあるソフトウェア署名サービス「Fox Tempest」の解体について
お疲れさまです。Fox TempestによるMSaaS(Malware-Signing-as-a-Service)に関する情報共有です。
■ 概要
攻撃グループFox Tempestが、マイクロソフトのArtifact Signingシステムを悪用して偽造証明書を発行し、他のランサムウェア組織(Rhysida, Qilin, Akira等)に提供していたことが判明しました。これにより、署名済みの悪意のあるファイルがセキュリティソフトの検知を回避して拡散されていました。
■ 影響範囲
- マイクロソフトの署名済みバイナリを信頼して許可している環境
- 偽造証明書を利用したマルウェアに感染したエンドポイント
■ 対応手順
1. EDR/AVのログを確認し、不審な署名付きバイナリの実行履歴がないか調査してください。
2. 信頼できないソースからのソフトウェアインストールを制限するポリシーを再徹底してください。
3. 最新の脅威インテリジェンスに基づき、関連するランサムウェアグループのIoCを監視してください。
■ 参考情報
- Microsoft 公式発表
対応優先度: 中
対応期限: 継続的な監視
お疲れさまです。Fox TempestによるMSaaS(Malware-Signing-as-a-Service)に関する情報共有です。
■ 概要
攻撃グループFox Tempestが、マイクロソフトのArtifact Signingシステムを悪用して偽造証明書を発行し、他のランサムウェア組織(Rhysida, Qilin, Akira等)に提供していたことが判明しました。これにより、署名済みの悪意のあるファイルがセキュリティソフトの検知を回避して拡散されていました。
■ 影響範囲
- マイクロソフトの署名済みバイナリを信頼して許可している環境
- 偽造証明書を利用したマルウェアに感染したエンドポイント
■ 対応手順
1. EDR/AVのログを確認し、不審な署名付きバイナリの実行履歴がないか調査してください。
2. 信頼できないソースからのソフトウェアインストールを制限するポリシーを再徹底してください。
3. 最新の脅威インテリジェンスに基づき、関連するランサムウェアグループのIoCを監視してください。
■ 参考情報
- Microsoft 公式発表
対応優先度: 中
対応期限: 継続的な監視
Subject: [Intel] Dismantling of Malware-Signing-as-a-Service (Fox Tempest)
Dear Team,
We are sharing information regarding the dismantling of the MSaaS platform operated by Fox Tempest.
■ Overview
Fox Tempest abused Microsoft's Artifact Signing system to generate over 1,000 forged certificates. These certificates were sold to various ransomware groups (e.g., Rhysida, Qilin, Akira) to bypass security detections by making malicious binaries appear legitimate.
■ Scope
- Environments relying solely on digital signatures for binary trust.
- Endpoints potentially infected by signed malware from the mentioned groups.
■ Recommended Actions
1. Review EDR/AV logs for any suspicious signed binaries executed in the environment.
2. Enforce strict policies against installing software from untrusted sources.
3. Monitor for IoCs associated with the ransomware groups that utilized Fox Tempest's services.
■ Reference
- Microsoft Official Announcement
Priority: Medium
Deadline: Ongoing monitoring
Dear Team,
We are sharing information regarding the dismantling of the MSaaS platform operated by Fox Tempest.
■ Overview
Fox Tempest abused Microsoft's Artifact Signing system to generate over 1,000 forged certificates. These certificates were sold to various ransomware groups (e.g., Rhysida, Qilin, Akira) to bypass security detections by making malicious binaries appear legitimate.
■ Scope
- Environments relying solely on digital signatures for binary trust.
- Endpoints potentially infected by signed malware from the mentioned groups.
■ Recommended Actions
1. Review EDR/AV logs for any suspicious signed binaries executed in the environment.
2. Enforce strict policies against installing software from untrusted sources.
3. Monitor for IoCs associated with the ransomware groups that utilized Fox Tempest's services.
■ Reference
- Microsoft Official Announcement
Priority: Medium
Deadline: Ongoing monitoring