*更新：本記事の最初のセクションの末尾にMicrosoftの声明を追加しました。* **Microsoft Defender**は、正規の**DigiCert**ルート証明書を**Trojan:Win32/Cerdigent.A!dha**として検知しており、広範な偽陽性アラートが発生し、一部のケースではWindowsから証明書が削除されています。 サイバーセキュリティ専門家によると、この問題は**Microsoft**が4月30日にDefenderのシグネチャアップデートに検出を追加した後に最初に発生しました。 本日、世界中の管理者が、**DigiCert**ルート証明書の項目がマルウェアとしてフラグ付けされ、影響を受けたシステムではWindowsの信頼ストアから削除されたと報告し始めました。 偽陽性に関するRedditの投稿によると、検出された証明書は以下の通りです。 * 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 * DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 影響を受けたシステムでは、これらの証明書はレジストリキーの下にあるAuthRootストアから削除されました。 HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\ これらの偽陽性はWindowsユーザーの間で懸念を引き起こしており、一部のユーザーはデバイスが感染したと考えて安全のためにオペレーティングシステムを再インストールしました。  **Microsoft**は、セキュリティインテリジェンスアップデートバージョン**1.449.430.0**で検出を修正したと報告されており、最新のアップデートは現在1.449.431.0です。 Redditの他の報告によると、この修正は影響を受けたシステムで以前に削除された証明書も復元するとのことです。 新しい**Microsoft Defender**アップデートは自動的にインストールされ、Windowsユーザーは**Windows セキュリティ** > **ウイルスと脅威の防止** > **保護の更新**に移動し、**更新プログラムの確認**をクリックすることで手動でアップデートを強制できます。 本記事を公開した後、**Microsoft**は、偽陽性が最近の**DigiCert**侵害からの侵害された証明書の検出に関連していることを確認しました。 「証明書の侵害の報告を受けて、**Microsoft Defender**は直ちにDefender Antivirus Softwareにマルウェアの検出を追加し、顧客を保護しました。本日早く、偽陽性アラートが誤ってトリガーされたことを確認し、アラートロジックを更新しました」と**Microsoft**はBleepingComputerに語りました。 「**Microsoft Defender**は、顧客環境のアラートを抑制およびクリーンアップしました。顧客はセキュリティインテリジェンスバージョン1.449.430.0以降に更新する必要がありますが、これらのアラートに対して追加のアクションを実行する必要はありません。影響を受けた組織に通知しており、管理者はM365管理センター内のサービス正常性ダッシュボード（SHD）で詳細を確認することをお勧めします。」 ## 最近のDigiCert侵害に関連 偽陽性は、攻撃者がマルウェアに署名するために使用される正規のコード署名証明書を入手できた**DigiCert**のセキュリティインシデント開示の直後に発生しました。 「マルウェアインシデントがカスタマーサポートチームのメンバーを標的としました。検出後、脅威ベクトルは封じ込められました」と**DigiCert**のインシデントレポートは説明しています。 「その後の調査で、脅威アクターが限定数のコード署名証明書の初期化コードを入手できたことが判明し、そのうちのいくつかはマルウェアに署名するために使用されました。」 「特定された証明書は、発見から24時間以内に失効され、失効日は発行日に設定されました。予防措置として、関心のある期間内の保留中の注文はキャンセルされました。完全なインシデントレポートで追加の詳細が提供されます。」 **DigiCert**のインシデントレポートによると、攻撃者は4月上旬に、スクリーンショットを装った悪意のあるZIPファイルを含むサポートメッセージを作成することで、同社のサポートスタッフを標的にしました。 複数のブロックされた試行の後、1人のサポートアナリストのデバイスが最終的に侵害され、その後、エンドポイント保護の「センサーギャップ」により検出されなかった2番目のシステムが続きました。 侵害されたサポート環境へのアクセスを使用して、ハッカーは、サポートスタッフが顧客の視点から顧客アカウントを表示できる**DigiCert**の内部サポートポータルの機能を使用しました。 範囲は限定的でしたが、このアクセスにより、承認済みだが未配信のEVコード署名証明書注文の「初期化コード」が公開されました。 「初期化コードの所有は、承認された注文と組み合わせることで、結果として得られる証明書を取得するために十分です（以下の要因に関する議論を参照）。」と**DigiCert**は説明しています。 「脅威アクターは、承認された注文の有限セットに対してこれらの2つの情報を取得できたため、一連の顧客アカウントおよびCAにわたるEVコード署名証明書を取得できました。」 **DigiCert**によると、60のコード署名証明書を失効させました。これには、「Zhong Stealer」マルウェアキャンペーンに関連する27件が含まれます。 「11件は、コミュニティメンバーから**DigiCert**に提供された証明書の問題レポートで特定され、証明書がマルウェアに関連していることが示され、16件は当社自身の調査中に特定されました」と**DigiCert**は説明しています。 ## Zhong Stealerマルウェアキャンペーン これは、セキュリティ研究者がマルウェアキャンペーンで使用されている新しく発行された**DigiCert** EV証明書を観察し、**DigiCert**に報告していたという以前の報告と一致しています。 、、およびを含む研究者は、**Lenovo**、**Kingston**、**Shuttle Inc**、**Palit Microsystems**などの有名企業に発行された証明書がマルウェアに署名するために使用されていたと報告しました。 「**Lenovo**、**Kingston**、**Shuttle Inc**、**Palit Microsystems**に共通点は何でしょうか？」と。 「これらの企業からのEV証明書は、中国の犯罪グループ、#GoldenEyeDog（#APT-Q-27）によって発行され、使用されました！」 このキャンペーンのマルウェアは「Zhong Stealer」と名付けられていますが、分析によると、情報窃盗マルウェアというよりはリモートアクセス型トロイの木馬（RAT）に近い可能性があります。 研究者によると、マルウェアは以下の攻撃を通じて配布されました。 * フィッシングメールが偽の画像またはスクリーンショットを配信する * デコイ画像を表示する最初のステージの実行可能ファイル * AWSなどのクラウドストレージからセカンドステージのペイロードを取得する * 正規ベンダーに関連付けられたコンポーネントを含む、署名付きバイナリおよびローダーの使用 **DigiCert**がインシデントを開示した後、研究者たちは、インシデントレポートがこれらのマルウェアキャンペーンで使用された証明書がどのように取得されたかを説明していると述べました。 **Microsoft Defender**によってフラグ付けされた証明書は、Windows信頼ストア内のルート証明書であり、マルウェアに署名するために使用された失効した**DigiCert**コード署名証明書とは一致しないことに注意してください。  ## Mythosが見つけたものの99%はまだパッチ未適用。 AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が到来します。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、コントロールが保持されていることを証明し、修復ループを閉じるかをご覧ください。