Microsoft は 2026 年 5 月 19 日、攻撃グループ Fox Tempest が運営していた「マルウェア署名サービス」を摘発し、これに紐づく 1,000 件超のコード署名証明書を一斉に失効させたと発表した。Fox Tempest は Microsoft Artifact Signing を悪用して、有効期間の短いコード署名証明書を次々に不正取得。ランサムウェアを含むマルウェアに「正規ソフトに見える署名」を施し、EDR や SmartScreen の信頼判定をすり抜けるためのインフラを商売として提供していた。
「署名されている=安全」という前提が崩れる #
Windows の防御モデルは、コード署名の妥当性に大きく依存している。SmartScreen の通知、WDAC や AppLocker のルール、EDR の自動除外設定──いずれも署名が有効か否かで挙動が分岐する。Fox Tempest はその前提を逆手に取り、短期間有効な証明書を量産して使い捨てることで、失効や CRL 反映が追いつかない時間差を悪用していた。マルウェア側からすれば、検出ロジックを真っ向から破る必要すらない。
ここ数日の「開発・配布インフラ侵害」連鎖 #
同じ週には、GitHub の内部リポジトリ流出が 悪意ある VS Code 拡張機能 経由だったと判明し、Steam で配信されていた無料ホラーゲーム「Beyond the Dark」にマルウェアが仕込まれていた事案も発覚した。コード署名・拡張機能マーケットプレイス・ゲーム配信プラットフォーム──開発者と利用者を繋ぐ「信頼の仲介者」が、立て続けに攻撃面として狙われている格好だ。
防御側が見直すべき視点 #
短期 cert を量産する攻撃が現実に成立している以上、運用側は「署名済みなら安全」を前提から外す必要がある。EDR の自動除外は 発行者組織・証明書発行履歴 まで含めて判定する設計に寄せる、配布元プラットフォームの侵害情報を継続的に拾う、自社で配布するバイナリの署名インフラは Sigstore / 短命鍵+ハードウェア HSM など二重化を検討する、といった対策がより現実味を帯びてきた。署名の信頼は 「ある/ない」の二値ではなく、文脈ごとに評価する フェーズに入っている。
参考 #
- GIGAZINE「Microsoftがマルウェアを『正規ソフト』に見せかける証明書1000件超を失効」https://gigazine.net/news/20260520-microsoft-expose-fox-tempest/
- ITmedia NEWS「GitHub内部リポジトリへの不正アクセス、『悪意あるVS Code拡張機能』が関与と特定」https://www.itmedia.co.jp/news/articles/2605/20/news137.html
- GIGAZINE「Steamで配信されていた無料ホラーゲームにマルウェアが仕込まれていることをYouTuberが暴露」https://gigazine.net/news/20260520-steam-game-removed-malware/
COMMENTS 0
No comments yet — be the first to leave one.