Microsoft Digital Crimes Unit (DCU) は 5 月 19 日、米ニューヨーク南部地区連邦地裁で機密扱いだった訴訟を解封し、同社の Artifact Signing (旧 Azure Trusted Signing) を悪用して有償でマルウェアにコード署名を施していた攻撃者グループ Fox Tempest を捜査・解体したと発表しました。コードネームは OpFauxSign。同サービスは 2025 年 5 月から運営され、AnyDesk・Teams・PuTTY・Webex といった正規ソフトに偽装した検体を顧客に提供していました。
主なポイント
- Microsoft は 1,000 超の不正取得コード署名証明書を失効。Fox Tempest は数百の Azure テナントとサブスクリプションを使い分けて短期 (72 時間) 証明書を量産していた
- 顧客料金は約 $5,000-$9,000/件。2026 年 2 月以降は事前構築済みの仮想マシン (ホスティングは Cloudzy) を提供し、検体アップロード ⇒ 署名済みバイナリ返却を自動化していた
- 解体には差し止め命令と並行して、ドメイン signspace[.]cloud の押収、運用 VM 数百台のオフライン化、コード配布サイトのアクセス遮断を実施
- 攻撃者は米国・カナダの盗用 ID で Microsoft の Artifact Signing 本人確認を突破。Microsoft は本人確認手順の強化と「失効後も検証フェイルする runtime チェック」を顧客側に推奨
- 同サービス経由の証明書は複数のランサムウェアキャンペーンで観測されており、SOC 側は revoke 済み証明書での署名検証イベントを SIEM で追跡する必要がある
出典: Exposing Fox Tempest: A malware-signing service operation