「署名されているから安全」という前提が崩れつつある

2026年4月、セキュリティ企業 Huntress の研究者たちが衝撃的なキャンペーンを詳報した。デジタル署名付きのアドウェアが、SYSTEM権限でウイルス対策製品を完全に無効化するペイロードを展開していたというものだ。被害は教育機関・公共インフラ・政府機関・医療機関を含む世界124か国、わずか1日で2万3,500台以上のエンドポイントが感染ホストとして観測された。

「PUP(Potentially Unwanted Program)だから大したことない」という甘い認識が、いかに危険かを突きつける事例だ。

手口の全体像——合法ツールを踏み台にした「サイレント侵害」

今回の攻撃の主役は、Dragon Boss Solutions LLC という企業が署名した一連の「ブラウザ」アプリだ。Chromstera、Chromnius、WorldWideWeb、Artificius Browserといった名称で流通しており、多くのセキュリティ製品からPUP扱いを受けていた。

表向きはブラウザとして動作しつつ、内部では Advanced Installer という商用パッケージングツールの自動更新機構を悪用している点が巧妙だ。正規ツールのアップデート機能を間借りすることで、セキュリティ製品の検知をすり抜けやすくしている。

侵害の流れ

  • 更新チェック — 設定ファイルに埋め込まれた複数のフラグにより、ユーザー操作を一切必要とせずサイレント実行
  • 偵察フェーズ — 管理者権限の有無、仮想マシン検出、インターネット接続確認、レジストリからのAV製品特定(Malwarebytes、Kaspersky、McAfee、ESETを明示的にターゲット)
  • MSIペイロード展開Setup.msi をGIF画像に偽装して取得・実行。SYSTEM権限で動作
  • ClockRemoval.ps1 の投下 — AVサービスの停止・プロセス強制終了・インストールディレクトリの削除・レジストリ消去を実施
  • 再インストール封鎖 — hostsファイルを改ざんしてAVベンダーのドメインを 0.0.0.0 にヌルルーティング。更新も再インストールも不能に
  • 永続化 — システム起動時・ログオン時・30分ごとのタスクスケジューラ登録でAV除去を繰り返し実行

Opera、Chrome、Firefox、Edgeのインストーラーも標的にされているが、これはブラウザハイジャック機能への干渉を避けるためと分析されている。

なぜこれが重要か——「署名 ≠ 安全」を現場に刻め

コード署名証明書は、ソフトウェアの「発行元の身元」を証明するものだ。しかしそれは「中身が安全である」ことを保証しない。今回の攻撃は、この前提の混同を意図的に突いている。

日本の組織でも、「署名済みだからインストール許可」という運用ルールを持っているケースは少なくない。AppLocker や Windows Defender Application Control(WDAC)の構成が甘ければ、署名の有無だけで制御を通過させてしまう。

PUPは「迷惑なだけで害はない」と軽視されがちだが、今回のケースはその出発点から最終的にAV完全無効化・ドメイン封鎖・SYSTEM権限の乗っ取りへと進展している。初期侵害の経路として「アドウェア」が使われる時代に入っていると認識しなければならない。

実務への影響——明日から使える対策ポイント

1. WDAC / AppLocker の証明書だけに頼らないポリシー設計

発行元証明書に加えて、ファイルハッシュ・製品名・バージョンの組み合わせで制御する構成に見直す。Intelligent Security Graph(ISG)との連携も有効だ。

2. 「PUP検知=即対処」の運用ルール化

SIEM/EDRの検知ルールでPUPアラートを「低優先度」に分類している場合、今すぐ見直す。アドウェアであっても高権限で動作している痕跡があれば最優先にエスカレートする。

3. hostsファイル・レジストリの変更監視

FIM(ファイル整合性監視)を有効にし、C:\Windows\System32\drivers\etc\hosts への書き込みをリアルタイムでアラートする。これは本攻撃の「再インストール封鎖」を早期発見する最も現実的な手段だ。

4. 定期的な「AV有効性確認」の自動化

Intuneのデバイスコンプライアンスポリシーで、リアルタイム保護の有効状態を継続的に評価する。非準拠デバイスは条件付きアクセスで制限する構成が望ましい。

5. ユーザー向け「怪しいブラウザ」教育

「無料のブラウザ・ツールバー・VPNはほぼ全滅」という感覚を現場に浸透させる。禁止するだけでなく、組織が承認した安全なツールを提供することで代替手段を用意することが肝心だ。

筆者の見解

セキュリティの話はどうしても「検知・ブロック・対応」という防御側のロジックで語られがちだが、今回の攻撃が見せたのは「信頼の構造そのものを武器にする」という発想の転換だ。

コード署名を信頼する、更新機構を信頼する、インストーラーを信頼する——そのすべてを逆用している。従来型のAVを軸に据えたセキュリティモデルが「正常に動いている間だけ有効」という構造的な欠陥を抱えていることを、改めて認識させられる。

ゼロトラストアーキテクチャが正しい方向性であることは論を俟たないが、「導入した」ことと「機能している」ことは別の話だ。hostsファイルを改ざんされてドメインが封鎖されたとき、認証・認可・ネットワーク各層の監視が機能していれば異常を検知できる。1層が突破されることを前提に、次の層で止める設計になっているかを今一度確認してほしい。

「今動いているから大丈夫」は通用しない——これは過去の侵害事例が繰り返し証明してきた教訓だ。PUP由来の感染が医療・行政ネットワークに混入していたという事実は、日本でも明日起きてもおかしくない話だ。

出典: この記事は Signed software abused to deploy antivirus-killing scripts の内容をもとに、筆者の見解を加えて独自に執筆したものです。