C
月内に
Microsoftは、悪意のあるソフトウェアに正当なデジタル署名を付与する「Malware-Signing-as-a-Service (MSaaS)」サービスを…
📌 一言でいうと
Microsoftは、悪意のあるソフトウェアに正当なデジタル署名を付与する「Malware-Signing-as-a-Service (MSaaS)」サービスを運営していたドメイン「signspace[.]cloud」を没収しました。このサービスは、Azure Trusted Signingを悪用して偽のコード署名証明書を発行し、マルウェアを信頼されたソフトウェアに見せかけていました。この活動は、金銭的動機を持つ攻撃グループ「Fox Tempest」によって管理されていたことが判明しています。
🔍該当判定
- 自社でWindows向けソフトウェアを開発し、外部の署名サービスを利用している
- Azure Trusted Signing (旧 Artifact Signing) を利用してコード署名を行っている
- signspace[.]cloud というドメインにアクセスした履歴がある、または利用したことがある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なソフトウェアの実行を避け、EDRなどのセキュリティ製品で署名済みであっても不審な挙動を示すバイナリを監視することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】悪意のあるコード署名サービス (MSaaS) の摘発について
お疲れさまです。Microsoftによる脅威アクターのインフラ排除に関する情報共有です。
■ 概要
Microsoftは、悪意のあるソフトウェアに正当な署名を付与して検知を回避させる「Malware-Signing-as-a-Service (MSaaS)」を提供していたドメイン「signspace[.]cloud」を没収しました。攻撃グループ「Fox Tempest」がAzure Trusted Signingを悪用し、短期間有効な偽の証明書を発行していたとのことです。
■ 影響範囲
- Windows環境全般(署名済みマルウェアによる検知回避の可能性)
■ 対応手順
1. EDR/AV等のログを確認し、不審な署名を持つバイナリの実行履歴がないか確認してください。
2. 信頼できないソースからのソフトウェアインストールを制限するポリシーを再徹底してください。
■ 参考情報
- Microsoft Threat Intelligence / OpFauxSign
対応優先度: 低
対応期限: なし
お疲れさまです。Microsoftによる脅威アクターのインフラ排除に関する情報共有です。
■ 概要
Microsoftは、悪意のあるソフトウェアに正当な署名を付与して検知を回避させる「Malware-Signing-as-a-Service (MSaaS)」を提供していたドメイン「signspace[.]cloud」を没収しました。攻撃グループ「Fox Tempest」がAzure Trusted Signingを悪用し、短期間有効な偽の証明書を発行していたとのことです。
■ 影響範囲
- Windows環境全般(署名済みマルウェアによる検知回避の可能性)
■ 対応手順
1. EDR/AV等のログを確認し、不審な署名を持つバイナリの実行履歴がないか確認してください。
2. 信頼できないソースからのソフトウェアインストールを制限するポリシーを再徹底してください。
■ 参考情報
- Microsoft Threat Intelligence / OpFauxSign
対応優先度: 低
対応期限: なし
Subject: [Info] Takedown of Malware-Signing-as-a-Service (MSaaS) Infrastructure
Dear team,
We are sharing information regarding Microsoft's recent operation to dismantle a malicious code-signing service.
■ Overview
Microsoft has seized the domain signspace[.]cloud, which provided 'Malware-Signing-as-a-Service (MSaaS)'. The threat actor, Fox Tempest, abused Azure Trusted Signing to generate fraudulent certificates, enabling malware to bypass security controls by appearing as legitimate Windows software.
■ Scope
- Windows environments (potential for detection bypass via signed malware).
■ Recommended Actions
1. Review EDR/AV logs for any suspicious binaries that may have been signed by fraudulent certificates.
2. Reinforce policies restricting the installation of software from untrusted sources.
■ Reference
- Microsoft Threat Intelligence / OpFauxSign
Priority: Low
Deadline: N/A
Dear team,
We are sharing information regarding Microsoft's recent operation to dismantle a malicious code-signing service.
■ Overview
Microsoft has seized the domain signspace[.]cloud, which provided 'Malware-Signing-as-a-Service (MSaaS)'. The threat actor, Fox Tempest, abused Azure Trusted Signing to generate fraudulent certificates, enabling malware to bypass security controls by appearing as legitimate Windows software.
■ Scope
- Windows environments (potential for detection bypass via signed malware).
■ Recommended Actions
1. Review EDR/AV logs for any suspicious binaries that may have been signed by fraudulent certificates.
2. Reinforce policies restricting the installation of software from untrusted sources.
■ Reference
- Microsoft Threat Intelligence / OpFauxSign
Priority: Low
Deadline: N/A