著者: スティーブン マサダ (Steven Masada)、マイクロソフト デジタル犯罪対策部門 (DCU) アシスタント ゼネラル カウンセル
※本ブログは、米国時間 2026 年 5 月 19 日 (火) に公開された “Disrupting Fox Tempest: A cybercrime service that turned ‘verified’ software into a pathway for ransomware” の抄訳を基に掲載しています。
私たちは日々、「検証済み (verified)」「セキュア (secure)」「インストールしても安全 (safe to install)」といったシンプルな表示を頼りに、どのソフトウェアを信頼するかを瞬時に判断しています。問題は、こうした表示が悪用されうるという点です。
本日マイクロソフトは、米国ニューヨーク州南部地区連邦地方裁判所において、Fox Tempest と呼ばれるサイバー犯罪サービスを標的とした訴訟を公開しました。Fox Tempest は 2025 年 5 月以降、サイバー犯罪者がマルウェアを正規のソフトウェアに偽装することを可能にしてきました。このマルウェア署名サービス (Malware-Signing-as-a-Service/MSaaS) は、ソフトウェアが正規かつ改ざんされていないことを検証するために設計されたマイクロソフトの Artifact Signing などのコード署名ツールに不正アクセスし、これを悪用する手口で運営されていました。サイバー犯罪者はこのサービスを利用してマルウェアを配布し、ランサムウェアをはじめとする攻撃を展開。世界中で数千台のマシンを感染させ、ネットワークを侵害しました。
マイクロソフトが、サイバー犯罪エコシステムの中で強力でありながら見えにくい実行支援者に対して公に行動を起こすのは今回が初めてです。今回の措置は、サイバー犯罪者が攻撃の成功率を高めるために用いる準備手法や運用そのものに焦点を当てています。このサービスを解体するため、私たちは Fox Tempest のウェブサイト signspace[.]cloud を差し押さえ、運営に使われていた仮想マシン数百台をオフラインにし、ベースとなるコードをホストするサイトへのアクセスを遮断しました。今回の措置は、不正に取得されたコード署名証明書の取り消しや、こうした悪意ある活動を検出、阻止するための新たなセキュリティ機能の導入といった、社内における継続的な取り組みの上に成り立っています。すでに効果は表れており、サイバー犯罪者の間では現行サービスへのアクセスが困難になったとの不満が出ています。
この影響は単一の攻撃者だけにとどまりません。本訴訟は Fox Tempest のインフラを標的とすると同時に、共犯者として Vanilla Tempest を指名しています。Vanilla Tempest は著名なランサムウェアグループで、同サービスを利用して Oyster、Lumma Stealer、Vidar などのマルウェアや、Rhysida などのランサムウェアを最近の複数のサイバー攻撃で展開してきました。Vanilla Tempest は世界中の学校、病院、その他の重要組織を標的としてきました。一方 Rhysida は、ファイルを暗号化するとともにデータを窃取し、ダブル エクストーション(二重恐喝) に多用される、高度に進化したランサムウェア亜種です。英国図書館からの内部文書の窃取および漏洩や、シアトル タコマ国際空港の業務妨害など、世界的に注目度の高い数々の攻撃で複数の攻撃者によって使用されてきました。マイクロソフトの調査ではさらに、Fox Tempest が INC、Qilin、Akira など複数のランサムウェア アフィリエイトおよびファミリーともつながっていることが明らかになりました。
より広い視点で見ると、今回の事案はサイバー犯罪のあり方の変化を示しています。かつては単一のグループが攻撃を最初から最後まで遂行する必要がありましたが、現在ではサービスが売買され、相互に組み合わせて使えるモジュール型のエコシステムへと分業化が進んでいます。安価で広く利用されているサービスもあれば、Fox Tempest のように高度に専門化され高額なものもあります。後者は、攻撃失敗の原因となる摩擦や障壁を取り除くため、攻撃の信頼性を高め、検出を困難にします。Fox Tempest の事例が示すように、こうしたサービスが AI を活用した手法と組み合わさることで、攻撃はより容易にスケールし、より多くの人々に到達し、より説得力のあるものになります。
こうした悪用は新しい問題ではないが、進化している
不正なコード署名証明書は、10 年以上にわたって売買、流通してきました。これには、欧州の重要インフラ組織を標的とした国家支援型攻撃者による利用も含まれます。変わったのは、この活動がいかにマーケティングされ、パッケージ化され、サービスとして販売されるようになったか、そしてランサムウェア キャンペーン全体で使用される規模です。今や犯罪者は証明書を 1 件ずつ購入する代わりに、マルウェアをサービスにアップロードして署名してもらえばよくなりました。
このモデルが注目に値するもう一つの理由は、投資規模です。マイクロソフトが本年初めに解体した、月額わずか 24 ドルというサイバー犯罪インフラ提供者 RedVDS のような低コストのサービスとは異なり、Fox Tempest は、より高度な攻撃者が、攻撃をより容易に、より検出されにくく、より成功させやすくする先進的な機能のためなら数千ドルを支払う用意があることを示しています。
Fox Tempest はいかに「正規性」をスケールで販売したか
Fox Tempest のビジネスモデルは単純でした。不正なコード署名能力を販売し、他者にマルウェアをパッケージ化させ、下流での攻撃を可能にします。このモデルは数百万ドル規模の収益を生み出しており、相当な金銭的利益が立証されています。
舞台裏では、運営者たちは大規模なアクセス基盤を構築していました。偽造された身元情報を使い、正規組織になりすますことで、彼らは数百もの不正なマイクロソフトアカウントを作成し、本物のコード署名認証情報を大量に取得していました。Fox Tempest のサービスに料金を支払った顧客は、オンライン ポータル経由で悪意あるファイルをアップロードし、Fox Tempest が管理する証明書で署名させることができました。サイバー犯罪者はこのサービスに数千ドルを支払っており、この機能の価値の高さを物語っています。
Fox Tempest の価格モデルフォームと、サービスを購入できる Telegram チャネル。支払額が大きいほど、サービスへのアクセスが早くなる仕組みです。
署名が完了すると、マルウェアは正規のものに見えるようになります。攻撃者は次に、ユーザーが目にしたものを信頼しやすいサーチ マニピュレーション(検索操作)や悪意ある広告などの手法で、この署名済みマルウェアを配布しました。さらに AI が、これらのキャンペーンの生成と洗練を支援し、より広い対象に到達できるようにしていました。
コード署名されたマルウェアが検索結果に表示される様子
コード署名で偽装されたマルウェアの配信メカニズムとなる偽の Microsoft Teams ダウンロードページ
これにより形勢が変わりました。本来であればウイルス対策ソフトなどのセーフガードによってブロックまたは警告されるべき悪意あるソフトウェアが、開かれ、実行を許可され、セキュリティ チェックを通過してしまう可能性が高くなったのです。つまり、マルウェアが堂々と隠れることを可能にしてしまいました。攻撃者は無理やり押し入る代わりに、歓迎される客のふりをして玄関から堂々と入ってこられるようになったのです。
マルウェア署名サービス (MSaaS) の概要図
マイクロソフトが不正アカウントを無効化し、不正取得された証明書を取り消し、保護機能を強化するにつれ、Fox Tempest の運営者は適応を繰り返しました。2026 年 2 月、彼らは最終的にサードパーティがホストする仮想マシンのネットワークへと移行し、運営の維持と拡大を図りました。こうした急速な変化はモデルの一部であり、これらのサービスは圧力や摩擦に応じて迅速に進化します。実際、マイクロソフトの多層的な解体努力に対して Fox Tempest は、運営と顧客を別のコード署名サービスへ移そうと試みており、さらなる適応が観察されています。
解体活動に対する Fox Tempest の反応 (第三者パートナーによるロシア語からの翻訳)
中核インフラの差し押さえと大規模な機能低下に加え、当社は同様の悪用を防ぐためのさらなる措置を講じています。具体的には、不正アカウントの削除、検証プロセスの強化、この種のアクセスが再利用される手段の制限などです。今回の作戦と、同種の悪用防止に向けた取り組みに関するより技術的な詳細については、Microsoft Threat Intelligence ブログをご参照ください。
サイバー犯罪の重要な実行支援者を断ち切る
今回の措置は、単一の攻撃者を止めることが目的ではありません。多くの攻撃者、特にランサムウェア グループが依存する重要なサービスを戦略的に無力化することを目指したものです。正規のコード署名サービスが武器化されると、下流のあらゆることが容易になります。マルウェアは正規に見え、セキュリティ警告は発動しにくくなり、攻撃は成功しやすくなります。この能力を低下させることは、摩擦を生み、リセットを強いることになります。攻撃の成功率は下がり、攻撃者は再構築を余儀なくされ、新たな侵入経路を探さねばならず、試行のたびにより大きなリスクを受け入れることになります。これにより、運営に必要なコストと時間の両方が押し上げられます。
重要なのは、解体措置は単独でも一回限りでも行われないということです。さまざまな組織やセクターがサイバー犯罪エコシステムのそれぞれ異なる部分を可視化しているため、協力が不可欠です。今回のケースでは、サイバーセキュリティ企業 Resecurity と緊密に連携し、Fox Tempest の運営実態を理解する上で重要な知見を得ています。また、欧州刑事警察機構のサイバー犯罪センターおよび米国連邦捜査局とも緊密に協力しています。
過去の取り組みで見られたように、攻撃者は再建を試みると予想されます。私たちは共に行動を続け、圧力をかけ続けます。これには、インテリジェンスの共有や他のコード署名サービスとのパートナーシップを通じてコード署名のエコシステム全体を強化し、悪意ある攻撃者がそもそも足場を取り戻しにくくすることも含まれます。
攻撃者が悪意あるソフトウェアを正規のものに見せかけられるとき、人々やシステムが「何が安全か」を判断する基盤そのものが揺らぎます。その能力を解体することは、サイバー犯罪のコストを引き上げる上で重要です。脅威が進化する中、マイクロソフト デジタル犯罪対策部門(DCU)は業界や法執行機関のパートナーと協力し続け、サイバー犯罪を可能にするサービスを粘り強く特定し、断ち切ってまいります。
マイクロソフト デジタル 犯罪対策部門(Digital Crime Unit/DCU)は、10 年以上にわたり、人々、組織、そして重要インフラを標的とするサイバー犯罪や国家主体による脅威を継続的に阻止してきました。主要な摘発事例と、その背後で進行中の捜査および対策についてはこちらをご覧ください: Disrupting cyberthreats since 2008 | Microsoft
―――
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由、背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。