Microsoftは2026年5月19日、同社のコード署名サービス「Azure Artifact Signing」を悪用してマルウェアに正規証明書を付与する「マルウェア署名代行サービス(MSaaS)」を運営していた脅威グループ「Fox Tempest」の活動を摘発・無効化したと発表した。

Azure Artifact Signingの悪用という巧妙な手口

Azure Artifact Signing(旧称:Trusted Signing)は、Microsoftが2024年に開始したクラウドベースのコード署名サービスだ。開発者が自分のプログラムをMicrosoftのインフラ上で簡単に署名できる仕組みで、正規の開発者にとっては利便性の高いサービスである。

Fox Tempestはこのサービスを不正に利用し、マルウェアにMicrosoft由来の正規コード署名証明書を付与することで、Windowsのセキュリティ機能やエンドポイント保護を回避していた。署名されたマルウェアはMicrosoft Teams、AnyDesk、PuTTY、Webexなどの正規ソフトウェアになりすまし、被害者がダウンロード・実行するよう誘導された。

特に巧妙だったのが「有効期間72時間の短命証明書」の活用だ。長期証明書は証明書失効リストに載るリスクがあるが、72時間以内に攻撃を完結させれば証明書が有効なまま悪用できる。グループは1,000件以上の証明書と数百のAzureテナント・サブスクリプションを量産することで、大規模かつ持続的な攻撃インフラを構築していた。身元確認をくぐり抜けるため、米国・カナダの盗用されたIDが利用された疑いがあるとされている。

関連するマルウェア・ランサムウェアの全容

今回摘発された活動は、複数の悪名高いマルウェアキャンペーンと関連していることが明らかになっている。

  • 情報窃取系: Lumma Stealer、Vidar、Oyster(ローダー)
  • ランサムウェア: Rhysida、Akira、INC、Qilin、BlackByte

攻撃に関与した脅威グループとして、INC Ransomwareメンバーを含む「Vanilla Tempest」、Storm-0501、Storm-2561、Storm-0249が特定されている。

典型的な感染チェーンは次の通りだ:偽のMicrosoft Teamsインストーラーを実行 → 悪意のあるローダーが起動 → 署名済みOysterマルウェアがインストール → 最終的にRhysidaランサムウェアが展開される。Windowsが「正規ソフトウェア」と認識することで、通常であればブロックされるはずのマルウェアが初期段階をすり抜けるという構造だ。

Microsoftの対応措置

Microsoftは今回、以下の措置を実施した。

  • 1,000件超のコード署名証明書を失効処理
  • signspace[.]cloudドメインを押収
  • 数百台の仮想マシンをオフライン化
  • 犯罪プラットフォームへのアクセスをブロック
  • ニューヨーク南部地区連邦地方裁判所に法的措置(Vanilla Tempestを共謀者として名指し)

押収されたドメインはMicrosoftの公式説明ページにリダイレクトされており、摘発の内容が一般公開されている。Microsoftのデジタル犯罪対策部門(DCU)が業界パートナーと連携して実施した今回の作戦は、インフラ破壊から法的措置まで包括的な対応となっている。

実務への影響:日本のエンジニア・IT管理者が今すぐ確認すべきこと

エンドポイント保護の見直し

コード署名だけを信頼の根拠にしてはいけない。今回の事件は、署名証明書が比較的容易に不正取得・悪用できることを改めて示した。Windows Defender / EDR製品の振る舞い検知を有効化し、署名済みファイルであっても動的解析を通過させる設定を確認したい。また、Microsoft TeamsなどのアプリケーションはMicrosoft StoreまたはIntuneを通じた組織配布経路からのみインストールを許可するポリシーの導入を検討すべきだ。

Azure環境のガバナンス

自社テナントでAzure Artifact Signingを利用している場合、証明書発行ログを定期的に確認する習慣をつけたい。また、不審なAzureテナントやサブスクリプションの作成を検知するためのMicrosoft Defender for Cloudのアラート設定も見直す価値がある。

ユーザー啓発

「Microsoftの署名があるから安全」という思い込みは今回で完全に否定された。エンドユーザー向けのセキュリティ教育において、この点を明確に伝える必要がある。

筆者の見解

今回の件を見て、「よくやった」と「なぜここまで見逃したのか」が同時に頭をよぎった。

コード署名という信頼の根幹をなすインフラを不正利用され、1,000件超の証明書が発行されるまで検知・停止できなかった事実は軽視できない。「Microsoftの署名 = 安全」という前提が攻撃者に徹底的に利用された形であり、正直なところもったいないと感じる。Azure Artifact Signingの設計には、このような大量不正発行を早期に検知するための仕組みが不十分だったということだ。

その一方で、DCUが法的措置を含む大規模な摘発に踏み切ったことは素直に評価したい。インフラ破壊だけでなく、裁判所への提訴とVanilla Tempestへの共謀者認定まで踏み込んだ姿勢は、業界全体への抑止効果をもたらすはずだ。

今回の根本的な教訓は「署名ベースの信頼モデルには限界がある」という点に尽きる。ゼロトラストアーキテクチャの観点では、コード署名はあくまで信頼判断の「ヒントの一つ」であって、それだけで実行許可を与えてはいけない。振る舞い検知、最小権限の実行環境、ネットワーク通信の監視——これらを組み合わせた多層防御が今こそ不可欠だ。

Microsoftにはぜひ、今回の経験をサービス設計にフィードバックしてほしい。「次に同様の悪用が始まったら数日以内に止められる」というレベルの検知・対応品質向上を、応援する立場として強く期待している。

出典: この記事は Cybercrime service disrupted for abusing Microsoft platform to sign malware の内容をもとに、筆者の見解を加えて独自に執筆したものです。