チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「正規のコード署名がついているソフトを、私たちはどこまで信用していいの?」
「サポート担当者を狙った社会工学攻撃って、どこまで他人事として聞けるんだろう」
チップスボス!証明書を発行する側のDigiCertが侵害されたって、ちょっとショックでしゅ…
ボスこれは小さくない事件だな。サポート窓口に来た「スクリーンショットのZIP」を解凍した1台が、4月のDigiCert内部侵害の起点だ。EVコード署名証明書60枚が失効、Zhong Stealerの配布に悪用された。
署名されたソフトを「正しい」と信じてきた現場ほど、感じる動揺は大きいはずです。
本記事では、DigiCertの発表内容と、日本企業として取るべき備えを整理します。
読み終えるころには、自社の「署名信頼」をどう運用していくべきか考える材料が揃います。
オススメ案件
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【クラウド基盤NWサービス維持管理】東京・春日(リモート併用)/FortiGate管理基盤設計・構築
サポート部門への社会工学攻撃が、認証局にまで及んだ事案です。
2026年4月2日、攻撃者はDigiCertのサポートチャットへ「顧客スクリーンショット」と称するZIPファイルを繰り返し送信しました。
中身は.scr(スクリーンセーバー)形式の実行ファイルで、Windowsでは事実上の実行可能ファイルとして扱われます。
CrowdStrikeなどの防御で4回までブロックされましたが、5回目の試行でサポートアナリストの端末「ENDPOINT1」が侵害されました。
チップスえっ、4回も止めてたのに、5回目で抜かれちゃったんでしゅか…
ボスそういうことだ。攻撃者は「人間が業務で疲れる瞬間」を狙う。サポート窓口は本質的にファイルを開く宿命があるから、検知ポリシーだけでは守りきれない。
DigiCertは4月14日から17日にかけて、計60枚のEVコード署名証明書を失効しました。
うち27枚は問題報告とDigiCertの内部調査により攻撃者との関連が確認されています。
残る33枚は予防的措置として失効対応されました。
| 区分 | 枚数 | 位置づけ |
|---|---|---|
| 攻撃者と紐付け確定 | 27枚 | 外部からの問題報告とCAの内部調査で確認 |
| 調査で発覚 | 16枚 | DigiCertの追加調査で判明 |
| 予防的失効 | 17枚 | 影響範囲の拡張防止のため |
「署名されているから安全」という前提が揺らぐ事件です。
盗まれたEVコード署名証明書は、Zhong Stealerに署名する形で実際の攻撃キャンペーンに使われました。
Zhong Stealerは過去に暗号資産関連のサイバー犯罪グループでも観測されたインフォスティーラーです。
セキュリティ研究者は今回のキャンペーンを、APT Q-27(GoldenEyeDog)に関連付けています。
チップスEV署名って「いちばん信頼できる」って習った気がするんでしゅが…
ボスその認識が、ある意味で攻撃者にとっての「信用残高」だったわけだ。だからこそ、署名チェーン側の侵害はインパクトが大きい。
「外から来たファイルを開かざるを得ない」業務は、サポート以外にも広く存在します。
営業の見積依頼、法務の契約書受領、人事の応募書類受領などが代表例です。
事件から学べる、現場で打てる対策を整理します。
事件の詳細はDigiCertの公式発表と、SecurityWeekの解説記事を確認してください。
今回の事件は、コード署名そのものの仕組みが破られたわけではありません。
破られたのは、サポート部門という「人を相手にせざるを得ない業務」の現場でした。
署名検証は今後も大切な確認手段ですが、振る舞い検知と社内運用ルールの両輪で支えてこそ、本来の信頼性が保たれます。
チップス「署名+EDR+運用」、3点セットで考えるでしゅね!
ボスそうだ。信頼は重ねるものであって、預けるものではない。これは何度でも言うべきだな。
オススメ案件
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【クラウド基盤NWサービス維持管理】東京・春日(リモート併用)/FortiGate管理基盤設計・構築
