Microsoft、「Fox Tempest」マルウェア署名サービスプラットフォームを解体
**Microsoft**は、サイバー犯罪者が悪意のあるコードに署名し、セキュリティ対策を回避するために使用していたマルウェア署名サービス(MSaaS)プラットフォーム「**Fox Tempest**」を解体しました。このプラットフォームは、ランサムウェアやその他のマルウェアを正規のソフトウェアのように見せかけて配布することを容易にし、世界中の組織に影響を与えていました。今回の措置は、マルウェア配布の主要な支援者を標的にすることで、サイバー犯罪のコストと複雑性を高めることを目的としています。
サイバーセキュリティ企業である**Microsoft**は今週、サイバー犯罪者にマルウェアを正規化するためのコード署名機能を提供していた高度なサービス「**Fox Tempest**」を解体したと発表しました。最近の米国連邦地方裁判所への提出書類で詳述されたこの作戦は、サイバー犯罪サプライチェーンにおける重要な結びつきを断ち切るものです。
### Fox Tempest:マルウェア署名サービス
**Fox Tempest**は、2025年5月以降、マルウェア署名サービス(MSaaS)として運営され、サイバー犯罪者に不正な証明書で悪意のあるコードに署名する能力を提供していました。これにより、マルウェアはセキュリティ管理を回避し、正規のソフトウェアになりすますことができました。
**Microsoft**のデジタル犯罪部門の副法律顧問である**Steven Masada**氏によると、このサービスはサイバー犯罪者がマルウェアやランサムウェアを配信することを可能にし、世界中で数千台のコンピューターに感染させ、ネットワークを侵害していました。「アンチウイルスやその他の保護機能によってブロックまたはフラグが立てられるはずだった悪意のあるソフトウェアは、開かれたり、実行されたり、セキュリティチェックを通過したりする可能性が高くなり、実質的にマルウェアが公然と隠れることを許していました」と同氏は述べています。
### 正規のコード署名の悪用
**Fox Tempest**は、ソフトウェアの正当性を検証するために設計された**Microsoft**のArtifact Signingを悪用しました。短命で不正なコード署名証明書を作成することにより、このプラットフォームはマルウェアを**AnyDesk**、**Teams**、**Putty**、**Webex**のような正規のアプリケーションに似せることを可能にし、セキュリティ対策を回避して実行の成功率を高めました。
**Rhysida**、**INC**、**Qilin**、**Akira**などのグループに関連するランサムウェアアフィリエイトは、マルウェアを正規化するために**Fox Tempest**を利用したと報告されています。彼らは悪意のあるコードをプラットフォームにアップロードし、署名付き証明書を取得した後、正規のソフトウェアダウンロードプラットフォームを模倣するように設計された偽のウェブサイトを通じてマルウェアを配布していました。
### Microsoftの対応
**Microsoft**は**Fox Tempest**のウェブサイトを差し押さえ、数百台の仮想マシンをオフラインにし、基盤となるコードへのアクセスをブロックしました。また、**Fox Tempest**に起因する1,000以上のコード署名証明書を失効させました。
「攻撃者が悪意のあるソフトウェアを正規のものに見せかけることができると、人々やシステムが何が安全かを判断する方法が損なわれます。その能力を妨害することは、サイバー犯罪のコストを引き上げる鍵となります」と**Masada**氏は説明しました。
### MSaaSのビジネスモデル
**Microsoft**は、**Fox Tempest**がインフラストラクチャ、顧客関係、財務取引を担当する部門を持つ、資金力のある組織として運営されていたことを強調しました。このプラットフォームは、1,000以上の証明書を作成し、その運営をサポートするために数百の**Azure**テナントとサブスクリプションを確立しました。
仮想通貨による支払いの分析により、**Fox Tempest**がランサムウェアアフィリエイトから数百万ドルを受け取っていたことが明らかになりました。このサービスは、米国、中国、フランス、インドの組織を標的とした攻撃で使用されていました。
このMSaaSモデルは、高度なサービスが大規模に提供されるサイバー犯罪エコシステムの変化を示しています。低コストのインフラストラクチャプロバイダーとは異なり、**Fox Tempest**は、高度な攻撃者が攻撃成功率を高め、検出確率を低下させる機能に多額の投資を惜しまないことを示しています。
<a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>
