🔥 この記事の詳細
2026-05-19 更新
C
月内に

Microsoftは、不正にコード署名証明書を発行・販売していたサイバー犯罪サービスを解体しました

事案🌐 英語ソース📰 2記事🌐 2 countries
🇰🇷 Korea · 🇺🇸 US
📅 2026-05-19📰 cyberscoop
📌 一言でいうと
Microsoftは、不正にコード署名証明書を発行・販売していたサイバー犯罪サービスを解体しました。攻撃グループ「Fox Tempest」は、MicrosoftのArtifact Signingシステムを悪用して偽の身分を捏造し、1,000以上の証明書を販売していました。これらの証明書は、Rhysidaなどのランサムウェアグループがマルウェアを正当なソフトウェアに見せかけて検知を回避するために利用されていました。
🔍該当判定
  • 社内で自社開発のソフトウェアを配布し、デジタル署名(コード署名)を利用している
  • Rhysidaなどのランサムウェア攻撃に関する警告をセキュリティソフトで検知している
  • MicrosoftのArtifact Signingシステムを利用してプログラムの認証を行っている
  • 不審な送信元から送られてきた、デジタル署名付きの実行ファイル(.exe等)を最近インストールした
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないソースからのソフトウェア実行を禁止し、EDR等のエンドポイントセキュリティ製品で署名済みであっても不審な挙動を示すバイナリを監視することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft コード署名サービスの悪用に関する脅威情報について

お疲れさまです。Microsoftが解体した不正コード署名サービスに関する情報共有です。

■ 概要
脅威アクター「Fox Tempest」がMicrosoftのArtifact Signingシステムを悪用し、偽造したコード署名証明書をランサムウェアグループ等に販売していたことが判明しました。これにより、マルウェアが「信頼されたソフトウェア」として検知を回避し、組織内に侵入するリスクが高まっていました。

■ 影響範囲
- 署名済みバイナリを無条件に信頼して許可している環境
- Rhysida, Vanilla Tempest, Storm-0501 等のグループによる攻撃対象

■ 対応手順
1. EDR/AVのログを確認し、不審な署名を持つバイナリの実行履歴がないか調査してください。
2. 署名があるからといって安全とは限らないため、未知の実行ファイルに対する実行制限(AppLocker等)を再検討してください。
3. 最新の脅威インテリジェンスに基づき、不審な通信先への接続を遮断してください。

■ 参考情報
- Microsoft Digital Crimes Unit 公表資料

対応優先度: 中
対応期限: 随時
Subject: [Intel] Abuse of Microsoft Code Signing Services by Fox Tempest

Dear Team,

We are sharing information regarding the disruption of a fraudulent code-signing service by Microsoft.

■ Overview
Threat actor "Fox Tempest" abused Microsoft's Artifact Signing system to create and sell over 1,000 fraudulent code-signing certificates. These certificates allowed ransomware groups (e.g., Rhysida, Vanilla Tempest) to bypass security controls by making malicious binaries appear as legitimate, trusted software.

■ Scope
- Environments that implicitly trust signed binaries without further verification.
- Organizations targeted by the mentioned ransomware groups.

■ Recommended Actions
1. Review EDR/AV logs for execution of suspicious binaries, even those with valid signatures.
2. Re-evaluate application control policies (e.g., AppLocker) to ensure that signed binaries from unknown publishers are restricted.
3. Monitor for network connections to known C2 infrastructure associated with the listed threat actors.

■ Reference
- Microsoft Digital Crimes Unit briefing

Priority: Medium
Deadline: Ongoing
📰 関連する 1 件の記事
dailysecu脅威アクター「Fox Tempest」がMicrosoftのコード署名サービスを悪用し、悪意のあるファイルに正当な証明書を付与するサービスを…
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-19 のまとめ🔍 記事を検索