Microsoftがマルウェアを「正規ソフト」に見せかける証明書1000件超を失効

Microsoftは2026年5月19日、マルウェアに正規ソフトウェアのような見た目を与える「マルウェア署名サービス」を運営していた攻撃グループ「Fox Tempest」について、1000件を超えるコード署名証明書を失効させたと発表しました。Fox TempestはMicrosoft Artifact Signingを悪用し、短期間だけ有効なコード署名証明書を不正に取得して、ランサムウェアを含むマルウェアを検出されにくくしていたとのことです。

Exposing Fox Tempest: A malware-signing service operation | Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2026/05/19/exposing-fox-tempest-a-malware-signing-service-operation/

コード署名証明書はソフトウェアの発行元や改ざんの有無を確認するための仕組み。Windowsやセキュリティ製品は、コード署名を「正規のソフトウェアかどうか」を判断する材料の1つとして扱います。つまり、マルウェアに本物らしいコード署名が付けられると、危険なファイルであっても正規ソフトウェアのように見えてしまうというわけ。

Microsoftによると、Fox Tempestは自ら被害組織へ侵入するのではなく、ほかのサイバー犯罪者に対して「マルウェアへ署名を付けるサービス」を提供していました。Fox TempestはMicrosoft Artifact Signingを悪用して有効期間72時間の証明書を不正に取得し、AnyDesk、Microsoft Teams、PuTTY、Webexなどの正規ソフトウェアを装ったマルウェアに署名できる状態にしていたとのこと。Fox Tempestは少なくとも2025年5月からサービスを提供していたと述べられています。

Fox Tempestは1000件を超える証明書を作成し、数百件のAzureテナントとサブスクリプションを運用基盤として使っていました。MicrosoftはFox Tempestに関連すると判断した1000件超のコード署名証明書を失効させ、さらにMicrosoftのデジタル犯罪対策ユニットがセキュリティ企業Resecurityの協力を受けてFox Tempestのマルウェア署名サービスの妨害も行ったとのこと。

Fox Tempestのサービスはランサムウェア攻撃にも利用されていました。MicrosoftはVanilla Tempest、Storm-0501、Storm-2561、Storm-0249といった攻撃グループが、Fox Tempestによって署名されたマルウェアを実際の攻撃で使っていたと述べています。例えばVanilla TempestはFox Tempestのサービスを使って偽のMicrosoft Teamsインストーラーにコード署名を付けていたとのこと。攻撃者は検索広告や偽のダウンロードページを使い、Microsoft Teamsを探しているユーザーを攻撃者管理下のページへ誘導。ユーザーが正規のTeamsインストーラーだと思ってファイルを実行すると、Oysterバックドアが展開される流れでした。

その他、Fox Tempestの署名サービスはRhysidaランサムウェアの展開をはじめ、Lumma StealerやVidarといったマルウェアの配布にも関係していたとのことです。

Microsoftは、Fox Tempestの事例について、サイバー犯罪が「攻撃者がすべてを自前で行う形」から「専門サービスを組み合わせる形」へ変化していることを示していると述べています。マルウェア署名サービスを使えば、マルウェアは正規ソフトウェアに見えやすくなり、セキュリティ製品による検出やユーザーの警戒をすり抜けやすくなります。そのため、Fox Tempestのようなサービスはランサムウェア攻撃を支える重要な役割を担っていたとのことです。