### Fox Tempestの悪意あるサービス **Microsoft**は、2025年5月から活動していたマルウェア署名サービス（MSaaS）スキーム「**Fox Tempest**」の解体を発表しました。このスキームは、サイバー犯罪者が不正に入手したコード署名証明書を使用して、マルウェアを正規のソフトウェアに見せかけることを可能にしていました。 「このサービスを解体するため、**Fox Tempest**のウェブサイトsignspace[.]cloudを差し押さえ、運用に使用されていた数百台の仮想マシンをオフラインにし、基盤となるコードをホストしていたサイトへのアクセスをブロックしました」と、**Microsoft**デジタル犯罪部門の副法律顧問であるSteven Masada氏は述べています。 ### ランサムウェアとマルウェアの展開 この運用は、**Vanilla Tempest**のような攻撃者による**Rhysida**ランサムウェアの展開を容易にし、さらに**Oyster**、**Lumma Stealer**、**Vidar**などの他のマルウェアファミリーも含まれていました。これは、サイバー犯罪エコシステムにおける**Fox Tempest**の重要な役割を浮き彫りにしています。 この攻撃者は、**INC**、**Qilin**、**BlackByte**、**Akira**といった著名なランサムウェア系統に関連するアフィリエイトとの関連が確立されています。これらの攻撃は、米国、フランス、インド、中国のヘルスケア、教育、政府、金融サービスを標的としていました。 ### Artifact Signingの悪用 **Microsoft**の管理された署名ソリューションである**Artifact Signing**（旧Azure Trusted Signing）は、**Fox Tempest**によって悪用され、短期間有効な不正なコード署名証明書が生成されました。これらの証明書は72時間しか有効でなかったため、正規の署名付きマルウェアを配信し、セキュリティ対策を回避することを可能にしていました。 「**Artifact Signing**を通じて正規の署名付き証明書を取得するには、申請者は業界標準の検証可能な資格情報（VC）に準拠した詳細な本人確認プロセスを通過する必要があります。これは、攻撃者が正規のエンティティになりすまし、署名に必要なデジタル資格情報を取得するために、米国とカナダに拠点を置く盗難された身元情報を非常に高い確率で使用したことを示唆しています」と**Microsoft**は説明しています。 **Artifact Signing**上に構築されたSignSpaceウェブサイトは、管理パネルとユーザーページを通じて安全なファイル署名を可能にし、Azureサブスクリプション、証明書、およびユーザーとファイルを管理するための構造化されたデータベースを活用していました。 ### 運用の詳細とコスト このサービスにより、サイバー犯罪者の顧客は、**Fox Tempest**が不正に入手した証明書を使用してコード署名を行うために悪意のあるファイルをアップロードすることができました。これにより、マルウェアやランサムウェアは、AnyDesk、**Microsoft Teams**、PuTTY、**Cisco Webex**などの正規のソフトウェアになりすますことができました。このサービスの価格は5,000ドルから9,000ドルの範囲でした。 ### インフラストラクチャの進化 2026年2月以降、**Fox Tempest**は、**Cloudzy**でホストされている事前設定済みの仮想マシン（VM）を顧客に提供するようになり、署名済みバイナリの配信を合理化しました。この進化は、顧客の負担を軽減し、**Fox Tempest**の運用セキュリティを向上させました。 ### 戦術と対策 **Vanilla Tempest**のような攻撃者は、正規に購入した広告を通じてサービスで署名されたバイナリを配布し、**Microsoft Teams**を検索しているユーザーを偽のダウンロードページにリダイレクトしていました。これにより、**Rhysida**ランサムウェアを配信する**Oyster**（別名BroomstickまたはCleanUpLoader）の展開への道が開かれました。 **Microsoft**は、不正なアカウントを無効にし、不正に取得された証明書を失効させることで、**Fox Tempest**の戦術に積極的に対抗してきました。裁判資料によると、**Microsoft**は2026年2月から3月にかけて「協力的な情報提供者」と協力してサービスを購入し、テストしました。 「攻撃者が悪意のあるソフトウェアを正規のものに見せかけることができると、人々やシステムが何が安全かを判断する方法が損なわれます」と**Microsoft**は述べています。「その能力を解体することは、サイバー犯罪のコストを増大させる鍵となります。」