概要：Microsoftがサイバー攻撃集団「Vanilla Tempest」の活動を阻止

Microsoftは、2025年10月上旬に「Vanilla Tempest」と名乗るサイバー攻撃集団が仕掛けた大規模なサイバー攻撃キャンペーンを阻止したと発表しました。同社は、サイバー犯罪者が偽のMicrosoft Teamsインストールファイルに署名するために使用していた200以上の不正な証明書を失効させました。これらの偽ファイルは、「Oyster」バックドアを送り込み、最終的に「Rhysida」ランサムウェアを被害者のシステムに展開することを目的としていました。

脅威の発見と対応

Microsoftのセキュリティ研究者は、2025年9月下旬に、不正に署名されたバイナリファイルに関連する数ヶ月間の不審な活動を監視した後、このVanilla Tempestキャンペーンを発見しました。Microsoftは迅速な対応を取り、悪意のある証明書を失効させただけでなく、Microsoft Defender Antivirusが偽のセットアップファイル、Oysterバックドア、およびRhysidaランサムウェアを検出できるようにしました。さらに、Microsoft Defender for Endpointは、Vanilla Tempestが攻撃で使用する特定の戦術、技術、手順（TTP）を識別できるようになりました。

「Vanilla Tempest」とは

Vanilla Tempestは、金銭的な動機を持つサイバー犯罪集団であり、他のセキュリティベンダーからは「VICE SPIDER」や「Vice Society」としても追跡されています。この脅威アクターは、ランサムウェアの展開と、恐喝目的での機密データの窃取を専門としています。これまでの活動では、BlackCat、Quantum Locker、Zeppelinなど複数のランサムウェアを使用しましたが、最近では主にRhysidaランサムウェアの展開に注力していました。

攻撃の手口

今回の攻撃キャンペーンは、ユーザーを騙して悪意のあるソフトウェアをダウンロードさせるための高度なソーシャルエンジニアリング技術に依存していました。Vanilla Tempestは、偽の「MSTeamsSetup.exe」ファイルを作成し、teams-download[.]buzz、teams-install[.]run、teams-download[.]topなど、正規のMicrosoft Teamsウェブサイトに酷似した不正なドメインでホストしていました。セキュリティ研究者は、潜在的な被害者が検索エンジン最適化（SEO）ポイズニングを通じてこれらの悪意のあるダウンロードサイトに誘導されたと考えています。

被害者が偽のMicrosoft Teamsセットアップファイルを実行すると、マルウェアはローダーを送り込み、その後、不正に署名されたOysterバックドアをシステムにインストールしました。調査により、Vanilla Tempestは2025年6月にはOysterを攻撃キャンペーンに組み込み始めていましたが、不正にこれらのバックドアに署名し始めたのは2025年9月上旬からであることが判明しました。

悪用されたコード署名サービス

悪意のあるソフトウェアを正規のものに見せかけるため、Vanilla Tempestは複数の信頼されたコード署名サービスを悪用しました。脅威アクターは、MicrosoftのTrusted Signingサービスに加え、SSL[.]com、DigiCert、GlobalSignの証明書を使用して、偽のインストーラーと侵害後のツールに不正に署名しているのが確認されました。

Microsoftによる防御策と推奨事項

Microsoftは、完全に有効化されたMicrosoft Defender Antivirusがこの脅威を正常にブロックすると強調しています。同社はまた、組織がこの攻撃を軽減し調査するのに役立つ追加のガイダンスをMicrosoft Defender for Endpointを通じて提供しています。Microsoftは、これらの保護策が顧客を保護すると同時に、より広範なセキュリティコミュニティ全体のサイバーセキュリティ防御を強化するために、この脅威インテリジェンスを公開しました。

---

元記事: https://gbhackers.com/microsoft-halts-vanilla-tempest-cyberattack/