マイクロソフト、マルウェア署名サービス「Fox Tempest」を停止へ

この仕組みにより、マルウェアはWindowsやセキュリティソフトから見て「署名付きの信頼できるプログラム」のように表示される可能性がありました。

マイクロソフトによれば、同グループは

• 1,000以上のコード署名証明書を作成
• 数百のAzureテナントとサブスクリプションを利用

してサービスを運営していたとされています。

signspace[.]cloudの仕組み

Fox Tempestの中心的なプラットフォームが signspace[.]cloud というサービスでした。

これは犯罪者向けの“有料マルウェア署名サービス”として機能していました。

基本的な流れは次の通りです。

• 攻撃者がマルウェアの実行ファイルをアップロード
• サービス側が不正に取得したArtifact Signingアクセスを利用
• コード署名証明書を生成
• 署名付きのマルウェアを依頼者に返却

こうして生成されたファイルは、証明書チェーン上では正規の認証局を経由した署名付きソフトのように見えるため、セキュリティ警告を回避しやすくなります。

報道によれば、証明書の有効期間は約72時間ほどの短期間だった場合もあり、防御側が証明書を特定して失効させる前にマルウェアを拡散する狙いがあったとみられています。

関連が指摘されたランサムウェアグループ

Fox Tempestのサービスは複数の犯罪グループに利用されていたとされています。

マイクロソフトの調査では、例えば次のようなグループとの関係が指摘されています。

• Rhysida ランサムウェア
• Vanilla Tempest
• Storm‑0501
• その他、マイクロソフトが追跡する複数の攻撃グループ

また、このインフラは

• Oyster
• Lumma Stealer
• Vidar

といったマルウェアの拡散にも関係していたと報告されています。

マイクロソフトが実施した対抗措置

マイクロソフトは技術対策だけでなく、法的措置も組み合わせてFox Tempestの活動を停止させました。

主な対応は以下の通りです。

1. 米国での民事訴訟
マイクロソフトは 米ニューヨーク南部地区連邦地裁 に民事訴訟を提起し、Fox Tempestの活動を対象とする裁判手続きを公開しました。

2. インフラの差し押さえと停止
ホスティング企業などと協力し、関連ウェブサイトやバックエンドインフラを押収・停止しました。

3. 不正証明書の大量失効
このサービスで発行された 1,000以上のコード署名証明書 を無効化しました。

4. Azure環境の遮断
犯罪活動に使われていた 数百のAzureテナントや仮想マシン を停止しました。

5. 捜査活動と潜入調査
マイクロソフトのDigital Crimes Unit（DCU）は、潜入調査などを含む手法で運営者のインフラ構造を特定しました。

これらの措置により、マルウェア署名サービスの基盤は大きく破壊されたとされています。

この事件が示すサイバー犯罪の変化

Fox Tempest事件が注目される理由は大きく2つあります。

サイバー犯罪の“サービス化”

近年の攻撃者は、すべてを自分たちで作る必要がありません。

犯罪エコシステムでは次のような専門サービスが存在します。

• Ransomware‑as‑a‑Service
• 初期侵入アクセスの販売
• マルウェア配布インフラ
• マルウェア署名サービス（今回のFox Tempest）

Fox Tempestは、「署名」という一つの機能を販売するだけで、世界中のランサムウェア攻撃を支える役割を果たしていた点で象徴的な存在でした。

ソフトウェアの信頼モデルへの攻撃

コード署名は、ソフトウェアが改ざんされていないことを確認するための基本的なセキュリティ仕組みです。

しかし攻撃者が不正証明書を取得すると、マルウェアは

• 警告を減らし
• 実行成功率を高め
• 信頼ベースの防御を回避

できてしまいます。

つまり、ソフトウェアの「信頼の仕組み」そのものが攻撃対象になっているということです。

サプライチェーンを断つという防御戦略

Fox Tempestの摘発は、現代のサイバー防御の方向性を示しています。

個々のランサムウェアグループだけでなく、攻撃を支えるサービスやインフラを狙って無力化することで、犯罪エコシステム全体に影響を与える戦略です。

ただし今回の事件は同時に、ソフトウェアの信頼を守る仕組みでさえ、悪用されれば攻撃の武器になり得るという現実も浮き彫りにしました。