**Microsoft**は、自社の**Azure Artifact Signing**サービスを悪用していた、大規模なマルウェア署名サービス（MSaaS）事業を停止しました。**Fox Tempest**として追跡されている脅威アクターが運営していたこの事業は、ランサムウェアグループやその他のサイバー犯罪者が使用する不正なコード署名証明書を生成していました。 ### Azure Artifact Signingの悪用 **Azure Artifact Signing**（以前はTrusted Signing）は、**Microsoft**が2024年に開始したクラウドベースのサービスで、開発者がプログラムに簡単に署名できるように設計されています。しかし、**Fox Tempest**はこのサービスを悪用して短命の証明書を作成し、マルウェアにデジタル署名して、ユーザーとオペレーティングシステムの両方から正規のソフトウェアとして信頼されるようにしていました。 **Microsoft**によると、この金銭目的の脅威アクターは、事業の一環として1,000件以上の証明書と数百の**Azure**テナントおよびサブスクリプションを作成しました。また、サイバー犯罪事業を標的とした訴訟をニューヨーク州南部地区連邦地方裁判所に提起しました。 「**Fox Tempest**は、事業を支援するために1,000件以上の証明書を作成し、数百の**Azure**テナントとサブスクリプションを確立しました。**Microsoft**は、**Fox Tempest**に起因する1,000件以上のコード署名証明書を失効させました」と**Microsoft**は述べています。 ### MSaaS事業の阻止 2026年5月、**Microsoft**のデジタル犯罪対策部門（DCU）は、業界パートナーの支援を受けて、**Fox Tempest**のMSaaS提供を阻止し、その広範な犯罪利用を可能にしていたインフラストラクチャとアクセスモデルを標的としました。 **Microsoft**は、サービスで使用されていたsignspace[.]cloudドメインを差し押さえ、事業に関連する数百台の仮想マシンをオフラインにし、サイバー犯罪プラットフォームをホストしていたインフラストラクチャへのアクセスをブロックしました。現在、このサイトは訪問者を、マルウェア署名サービス事業に対する訴訟の一環としてドメインが差し押さえられたことを説明する**Microsoft**運営のサイトにリダイレクトしています。 ### マルウェアおよびランサムウェアとの関連 この事業は、Oyster、Lumma Stealer、Vidar、およびRhysida、Akira、INC、Qilin、BlackByteランサムウェア事業を含む多数のマルウェアおよびランサムウェアキャンペーンに関連していました。Vanilla Tempest（INC Ransomwareのメンバー）、Storm-0501、Storm-2561、Storm-0249などの脅威アクターは、署名されたマルウェアを攻撃に使用していました。 **Microsoft**は、訴訟でVanilla Tempestランサムウェア事業を共謀者として名指しし、同グループが世界中の組織を標的とした攻撃でマルウェアとランサムウェアを配布するためにこのサービスを使用していたと述べています。 MSaaSはsignspace[.]cloudを通じて運営され、サイバー犯罪の顧客が不正に入手した証明書を使用してコード署名のために悪意のあるファイルをアップロードすることを可能にしていました。  これらの署名されたマルウェアファイルは、その後、脅威アクターによって**Microsoft Teams**、AnyDesk、PuTTY、Webexなどの正規のソフトウェアになりすますために使用され、ダウンロードに正当性を加えていました。 「不注意な被害者が偽名で**Microsoft Teams**インストーラーファイルを実行すると、それらのファイルは悪意のあるローダーを配信し、それが不正に署名されたOysterマルウェアをインストールし、最終的にRhysidaランサムウェアを展開しました」と**Microsoft**の訴状は述べています。 「Oysterマルウェアは**MicrosoftのArtifact Signing**サービスからの証明書で署名されていたため、Windowsオペレーティングシステムは当初、マルウェアを正規のソフトウェアとして認識しましたが、そうでなければWindowsオペレーティングシステムのセキュリティ対策によって疑わしいとフラグが付けられたり、完全にブロックされたりしたでしょう。」 ### 身元詐称と短命の証明書 **Microsoft**は、運営者がArtifact Signingの身元確認要件を通過し、署名資格情報を取得するために、米国とカナダからの盗難された身元情報を使用した可能性が高いと考えています。 証明書を取得する際、脅威アクターは検出のリスクを減らすために、72時間有効な短命の証明書のみを使用したと報告されています。 ### Trusted Signingの過去の悪用 BleepingComputerは、2025年3月に、脅威アクターが**Microsoft**のTrusted Signingサービスを悪用して、Crazy Evil Traffers暗号通貨窃盗キャンペーンおよびLumma Stealerキャンペーンで使用されたマルウェアに署名していたことを以前に報告しました。これらのマルウェアも3日間の証明書で署名されていましたが、**Fox Tempest**サイバー犯罪プラットフォームによって署名されたかどうかは不明です。 ### Fox Tempestの事業の進化 **Microsoft**はまた、**Fox Tempest**が今年初めに、Cloudzyインフラストラクチャを通じてホストされる事前設定済みの仮想マシンを顧客に提供することで、事業を進化させたことを詳述しました。顧客はVM環境にマルウェアをアップロードし、**Fox Tempest**管理下の証明書を使用して署名されたバイナリを受け取りました。 マルウェア署名プラットフォームは、「EV Certs for Sale by SamCodeSign」という名前のTelegramチャンネルで宣伝されており、プラットフォームへのアクセス料金はビットコインで5,000ドルから9,000ドルの範囲でした。 **Microsoft**によると、この事業は数百万ドルの利益を生み出し、インフラストラクチャ、顧客関係、および金融取引を管理できる、資金力のあるグループです。 [](https://hubs.li/Q048zztN0) ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) 自動ペネトレーションテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを移動できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が維持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)