チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「正規のコード署名がついているマルウェアって、どうやって検知すればいいの?」
「Microsoftが制圧したって聞いたけど、もう安全になったの?」
チップスボス、Microsoft Artifact Signingを悪用したマルウェア署名サービスって、それ自体が驚きでしゅ…
ボスうむ、Microsoftが5月19日に公表したFox Tempestだ。1000を超える不正な短期コード署名証明書を発行し、複数のランサム集団へ提供していた。
本記事ではマルウェア署名サービス「Fox Tempest」の手口と、Microsoftによる制圧の意味、企業が取るべき防御策を解説します。
「正規署名なら信頼できる」という前提が崩れる事案として、防御方針の見直しが求められます。
続きを読めば、コード署名を信頼している既存の検知ロジックの落とし穴が見え、現場で取れる多層防御の方向性が分かります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
Fox Tempestは、サイバー犯罪市場で「マルウェア署名サービス」を商品として提供していた組織です。
正規のクラウドサービスを巧妙に悪用していた点が、この事案の特異性を示しています。
Fox TempestはMicrosoft Artifact Signing機能を悪用し、短期間だけ有効な不正コード署名証明書を量産していました。
顧客となる別の犯罪者は、Fox Tempestが管理する仮想マシンに自分のマルウェアをアップロードすると、署名済みバイナリを受け取れる仕組みです。
後にホスティング基盤を米国のVPS事業者Cloudzyへ移しており、商用クラウドを次々と踏み台にする巧妙な運用も浮かび上がっています。
事案の主要数値はこちらです。
| 項目 | 内容 |
|---|---|
| 公表日 | 2026年5月19日(Microsoft) |
| 失効した証明書 | 1000超 |
| 停止したAzureテナント・サブスクリプション | 数百規模 |
| 関連ランサム集団 | Vanilla Tempest/Storm-0501/Storm-2561/Storm-0249 |
| 悪用された機能 | Microsoft Artifact Signing |
多くのEDR・アンチウイルスは、有効なコード署名のあるバイナリを優先度の低い検査対象として扱う傾向があります。
Fox Tempest経由のマルウェアは、まさにこの抜け道を狙ったもので、Defender SmartScreenなどの警告も回避しやすくなっていました。
Vanilla TempestやStorm-0501といったランサム集団が、初期侵入の段階でこの署名済みバイナリを利用していた点も注目すべきです。
チップス「署名されているから大丈夫」って思っていましたけど、もう通用しないんでしゅね…
ボスうむ、署名は「誰が出したか」を保証するに過ぎん。「内容が安全か」は別問題と理解せよ。
今回の制圧は大きな成果ですが、根本的な解決ではありません。
類似の手口は今後も出現する前提で、検知ロジックの考え方を更新しましょう。
Microsoftは1000超の証明書を失効させ、関連するAzureテナントを停止しました。
各組織のEDR・WSUS・配布管理基盤では、失効リストの反映状況を確認するとともに、過去に検出した署名済みバイナリの再点検が必要です。
SIEMで証明書のサブジェクトCNやシリアル番号を保存している場合は、過去ログを横断検索して該当する痕跡がないか調べる価値があります。
当面取るべき行動を整理します。
署名済みバイナリを完全に信頼するスタンスは、Fox Tempestのような事案で破綻します。
EDRの設定で「署名済みは検査スキップ」のような最適化を入れている場合は、ポリシーを見直すべきです。
ゼロトラストの考え方に沿って、署名の有無ではなく実行時の振る舞い・通信先・権限要求を主軸に評価する設計へ寄せていくのが本筋です。
チップス署名チェックを甘くしている設定、たぶん社内にも残っていそうでしゅ…
ボスうむ、性能を取って甘くしている例は多い。Fox Tempestを機にポリシーを見直すべきだな。
Fox Tempestの制圧は朗報ですが、攻撃手法そのものが消えるわけではありません。
企業として取るべき行動を整理します。
チップスサインがあるからって油断しないようにしなきゃでしゅ!
ボスうむ、信用すべきは行動だ。形式ではない。
詳しい情報はMicrosoft Security Blog公式を参照してください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
