マイクロソフトは、米国ニューヨーク州南部地区連邦地方裁判所で、Fox Tempestと呼ばれるサイバー犯罪サービスを標的とした訴訟を公表しました。Fox Tempestは2025年5月以降、正規ソフトのように見せかける署名を付与し、マルウェア配布とランサムウェア攻撃を可能にしてきたとされています。運営はマイクロソフトのArtifact Signingなどのコード署名ツールへの不正アクセスを悪用し、世界中で数千台規模の感染とネットワーク侵害を引き起こしました。マイクロソフトはこのサービスの中核であるウェブサイトsignspace[.]cloudを差し押さえ、運用に使われた数百台の仮想マシンを停止し、関連コードのホスティング先へのアクセスも遮断しました。さらに、不正入手されたコード署名証明書の取り消しと検出阻止のための新たなセキュリティ機能を実装し、犯罪者による現行サービスへのアクセスが難しくなっている状況を示しました。
今回の措置は、単一の攻撃者ではなく、犯罪エコシステムで重要な実行支援者を狙う点に特徴があります。本件ではFox Tempestのインフラに加え、共犯者としてVanilla Tempestを指名し、同グループがOyster、Lumma Stealer、VidarなどのマルウェアやRhysidaなどのランサムウェアを展開してきたと述べています。Vanilla Tempestは学校や病院など重要組織を標的にしてきたとされ、Rhysidaは暗号化とデータ窃取を組み合わせる二重恐喝で知られ、英国図書館やシアトルタコマ国際空港の事案で複数の攻撃者に使われてきました。さらに、Fox TempestはINC、Qilin、Akiraなど複数のランサムウェアアフィリエイトやファミリーとも関係があると示されています。マイクロソフトは、こうした依存関係を断つことで攻撃コストを引き上げ、再構築を強いる狙いを明確にしています。
Fox Tempestはマルウェア署名サービスの形で「正規性」を販売していたとされます。偽造された身元情報で正規組織になりすまし、数百の不正なマイクロソフトアカウントを作成して本物の署名認証情報を取得しました。顧客はオンラインポータルに悪意あるファイルをアップロードし、Fox Tempestが管理する証明書で署名を受ける仕組みでした。支払い額に応じてアクセスの優先度が上がる価格モデルが示され、サービスは数百万ドル規模の収益を生んだとされています。署名が付与されたマルウェアは検索結果や偽サイトを通じて拡散され、AIがキャンペーンの生成と洗練を支援し、検出回避と拡散の容易化に寄与しました。これにより本来ブロックされるべきソフトがセキュリティチェックを通過しやすくなり、攻撃の成功率が高まったと説明しています。
この種の悪用は新規ではないものの、サービス化と規模の拡大が進んでいる点が指摘されています。過去10年以上にわたり不正なコード署名証明書は流通してきましたが、現在は証明書単体の売買から、アップロードすれば署名されるサービス提供へと転換しました。低コストの犯罪インフラ提供者が存在する一方で、Fox Tempestは高度な機能に対し数千ドルを支払う攻撃者の需要を捉えた事例とされています。マイクロソフトが不正アカウント無効化や証明書取り消しを進める中、Fox Tempestは2026年2月にサードパーティの仮想マシン群へ移行するなど適応を続け、別のコード署名サービスへの移行も試みたと述べられています。マイクロソフトは不正アカウント削除や検証プロセスの強化、再利用経路の制限など再発防止策を拡充しています。
取り締まりは継続的かつ協調的に進められています。マイクロソフトはResecurityと連携して運営実態の把握に必要な知見を得たほか、欧州刑事警察機構のサイバー犯罪センターや米国連邦捜査局とも協力しています。目的は、正規のコード署名サービスが武器化される状況を是正し、攻撃者に摩擦を与え、成功率を下げることにあります。攻撃者が再建を試みることを見据え、インテリジェンス共有や他のコード署名サービスとのパートナーシップを通じてエコシステムの強化を進める姿勢を示しました。マイクロソフト デジタル犯罪対策部門は、2008年以降、サイバー犯罪や国家主体による脅威の阻止に取り組んでおり、今回の一連の措置もその継続線上に位置付けられます。人々やシステムが安全を判断する基盤を揺るがす力に対し、同部門は粘り強く対処していくとしています。
詳しくは「マイクロソフト」の公式ページまで。レポート/DXマガジン編集部
