マイクロソフトは、サイバー犯罪者がマルウェアを正当なものに見せかけるのを助けていた「Fox Tempest」と呼ばれるマルウェア署名サービス(MSaaS)を摘発したと発表した。
このサービスを利用すると、顧客は悪意のあるファイルを提出し、マイクロソフトが発行した有効期間の短い証明書でデジタル署名してもらうことができた。これにより、マルウェアは正当なものに見え、セキュリティチェックをすり抜ける可能性が高まった。
Fox Tempestのサービスは、顧客向けの署名ワークフローを中核として構築されていました。このワークフローでは、サイバー犯罪者がポータルに悪意のあるバイナリファイルをアップロードし、有効期間が72時間の証明書で署名させた後、信頼できるソフトウェア提供元から送信されたように見えるファイルを受け取ることができました。
マイクロソフトは、この手法によってマルウェアがセキュリティ制御を回避し、通常であれば不審な署名なしコードとして検知されるはずの防御策をすり抜けることが可能になったと明言している。多くのセキュリティツールは、特に許可リストや発行元の信頼度に基づく環境において、署名付きバイナリを署名なしのものよりも信頼性が高いとみなす傾向がある。Fox Tempestは、不正に入手した証明書を使用してマルウェアを正規のソフトウェアに見せかけることで、この前提を悪用し、実行される可能性や感染の成功率を高めた。
信頼性が高く見える証明書は、特にソーシャルエンジニアリング、有料広告、SEOポイズニング、あるいは偽のダウンロードページと組み合わされた場合、マルウェアが初期の検知をすり抜ける手助けとなります。今回のキャンペーンでは、署名レイヤーが、悪意のあるインストーラーがAnyDesk、Teams、PuTTY、Webexといった製品に偽装することを可能にしました。これはまさに、評判や信頼性に基づいて構築された制御フレームワークをすり抜けることのできる悪用手法そのものです。
これらの偽造証明書は、ランサムウェアや情報窃取型マルウェアを拡散するために利用された。こうしたマルウェア攻撃の影響は広範囲に及び、複数の国で医療、教育、政府機関、金融サービスなどの分野が被害を受けた。
安全に過ごすには
マイクロソフトの開示資料は、サイバー犯罪が「マルウェア作成者」という段階を超え、あるグループが信頼の構築を専門とし、別のグループがそれを収益化するサービス経済へと進化している実態を浮き彫りにしている。
防御側にとって、最も重要な教訓は、コード署名を単独のセキュリティ対策として扱わないことだ。
消費者の方へ:
- ソフトウェアは、必ず公式ベンダーのサイト、Microsoft Store、またはすでに信頼している他のソースからのみダウンロードするようにしてください。ソーシャルメディアの投稿、ダイレクトメッセージ、またはメールで送られてきたリンクにあるダウンロードボタンは利用しないでください。
- 人気アプリの「スポンサー付き」検索結果や広告には注意してください。
- シグネチャだけでなく、悪意のある動作を検知する、最新のリアルタイム型マルウェア対策ソリューションをご利用ください。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
