米CISA、パスワードとクラウドキーをネット上に大量公開

米CISA、パスワードとクラウドキーをネット上に大量公開

TechCrunch – May 19, 2026

米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が大失態を演じ、CISAとその親機関である国土安全保障省（DHS）のシステムへのアクセスに使われる認証情報がネット上に大量公開されたという。

独立系セキュリティ記者のBrian Krebs氏が最初に報じたところによると、セキュリティサービスGitGuardianの研究者Guillaume Valadon氏は、CISAの請負業者に勤務する人物が米政府のクラウドシステムや内部システムへのアクセスを可能にする認証情報をGitHubリポジトリで公開していることを発見。この認証情報はスプレッドシートに平文で記載されており、アクセストークンやクラウドキー、その他の機微ファイルが含まれていたとされる。

Valadon氏は一部のキーをテストして有効性を確認した後、GitHub環境を管理していた請負業者が警告に応じなかったためKrebs氏に報告したとのこと。この認証情報を発見・使用した人物がほかにもいるかどうかはわかっていない。

TechCrunchの聞き取りに対し、CISAの広報は「報告された情報漏洩を認識しており、現在も調査を続けている」とコメント。「今回のインシデントで機微データが侵害された兆候はない」と述べた。

CISAはジェン・イースタリー前長官が2025年1月20日に辞任して以来、常任長官のいない状態が続いている。また、第2次トランプ政権発足後は人員削減、一時帰休、解雇などにより、職員数が3分の1ほど減少している。

マイクロソフトが「Fox Tempest」のマルウェア署名サービスを無効化

SecurityWeek – May 19, 2026

マイクロソフトは19日、ランサムウェアなどのマルウェア配布を助長していたサイバー犯罪サービスを無効化したと発表した。

同社によると、脅威アクター「Fox Tempest」が運営していたマルウェア署名サービス（MSaaS）は、Microsoft Artifact Signingを悪用して有効期限の短いコード署名証明書を生成するもの。これらの証明書は正規ソフトウェアを装ったマルウェアに署名するために使用され、検出回避に役立っていたとされる。

マイクロソフトは2025年9月からFox Tempestを追跡しており、そのサービスは同社が2025年10月に無力化したVanilla Tempestなど複数のランサムウェアグループに使われていたという。Fox TempestはRhysida、INC、Qilin、Akiraといったランサムウェアの配信をサポートしたほか、Lumma Stealer、Oyster、Vidarなどマルウェアファミリーの拡散にも関与していたようだ。「これらの活動による影響は、医療、教育、政府、金融サービスなど幅広い業界分野への攻撃につながり、米国、フランス、インド、中国をはじめとする世界中の組織に被害をもたらした」とマイクロソフトは説明した。

「Fox Tempestは1,000以上の証明書を作成し、その活動を支えるために多くのAzureテナントとサブスクリプションを構築していた。マイクロソフトは、Fox Tempestに帰属する1,000件以上のコード署名証明書を失効させた」とマイクロソフトは述べている。

マイクロソフトは過去1年間で複数のサイバー犯罪サービス無効化作戦に関与し、RedVDS、RaccoonO365、Tycoon 2FAなどの活動の妨害に貢献している。