チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「正規のコード署名がついているソフトを、私たちはどこまで信用していいの?」
「サポート担当者を狙った社会工学攻撃って、どこまで他人事として聞けるんだろう」
チップスボス!証明書を発行する側のDigiCertが侵害されたって、ちょっとショックでしゅ…
ボスこれは小さくない事件だな。サポート窓口に来た「スクリーンショットのZIP」を解凍した1台が、4月のDigiCert内部侵害の起点だ。EVコード署名証明書60枚が失効、Zhong Stealerの配布に悪用された。
署名されたソフトを「正しい」と信じてきた現場ほど、感じる動揺は大きいはずです。
本記事では、DigiCertの発表内容と、日本企業として取るべき備えを整理します。
読み終えるころには、自社の「署名信頼」をどう運用していくべきか考える材料が揃います。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
サポート部門への社会工学攻撃が、認証局にまで及んだ事案です。
2026年4月2日、攻撃者はDigiCertのサポートチャットへ「顧客スクリーンショット」と称するZIPファイルを繰り返し送信しました。
中身は.scr(スクリーンセーバー)形式の実行ファイルで、Windowsでは事実上の実行可能ファイルとして扱われます。
CrowdStrikeなどの防御で4回までブロックされましたが、5回目の試行でサポートアナリストの端末「ENDPOINT1」が侵害されました。
チップスえっ、4回も止めてたのに、5回目で抜かれちゃったんでしゅか…
ボスそういうことだ。攻撃者は「人間が業務で疲れる瞬間」を狙う。サポート窓口は本質的にファイルを開く宿命があるから、検知ポリシーだけでは守りきれない。
DigiCertは4月14日から17日にかけて、計60枚のEVコード署名証明書を失効しました。
うち27枚は問題報告とDigiCertの内部調査により攻撃者との関連が確認されています。
残る33枚は予防的措置として失効対応されました。
| 区分 | 枚数 | 位置づけ |
|---|---|---|
| 攻撃者と紐付け確定 | 27枚 | 外部からの問題報告とCAの内部調査で確認 |
| 調査で発覚 | 16枚 | DigiCertの追加調査で判明 |
| 予防的失効 | 17枚 | 影響範囲の拡張防止のため |
「署名されているから安全」という前提が揺らぐ事件です。
盗まれたEVコード署名証明書は、Zhong Stealerに署名する形で実際の攻撃キャンペーンに使われました。
Zhong Stealerは過去に暗号資産関連のサイバー犯罪グループでも観測されたインフォスティーラーです。
セキュリティ研究者は今回のキャンペーンを、APT Q-27(GoldenEyeDog)に関連付けています。
チップスEV署名って「いちばん信頼できる」って習った気がするんでしゅが…
ボスその認識が、ある意味で攻撃者にとっての「信用残高」だったわけだ。だからこそ、署名チェーン側の侵害はインパクトが大きい。
「外から来たファイルを開かざるを得ない」業務は、サポート以外にも広く存在します。
営業の見積依頼、法務の契約書受領、人事の応募書類受領などが代表例です。
事件から学べる、現場で打てる対策を整理します。
事件の詳細はDigiCertの公式発表と、SecurityWeekの解説記事を確認してください。
今回の事件は、コード署名そのものの仕組みが破られたわけではありません。
破られたのは、サポート部門という「人を相手にせざるを得ない業務」の現場でした。
署名検証は今後も大切な確認手段ですが、振る舞い検知と社内運用ルールの両輪で支えてこそ、本来の信頼性が保たれます。
チップス「署名+EDR+運用」、3点セットで考えるでしゅね!
ボスそうだ。信頼は重ねるものであって、預けるものではない。これは何度でも言うべきだな。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
