Windows 11やWindows Server環境で、Microsoft Defenderが「Cerdigent」と呼ばれるトロイの木馬を検出したという報告が世界中で急増しています。しかし現時点の情報を整理すると、これは実際の感染ではなく、誤検知の可能性が高いと見られているようです。問題の背景:DigiCert の内部システム侵害が発端MozillaのBugzillaに投稿された報告によると、今回の騒動は証明書認証局DigiCertの内部サポートシステムが侵害されたことに端を発しています。攻撃者はサポート担当者のPCを突破し、そこから「コード署名証明書の初期化コード」にアクセス。これにより、正規の注文と組み合わせることで、正規に見えるコード署名証明書を生成できてしまったとされています。DigiCertは調査の過程で、問題のある60件の証明書を順次失効しています。そのうち27件は実際に攻撃者と関連が確認され、「Zhong Stealer」マルウェアの署名に悪用されていたことが判明しました。Defender の「Cerdigent」警告は何を意味するのかMicrosoft Defenderのデータベースには「Cerdigent.A!dhaは攻撃者が任意の操作を行える可能性がある」と記載されていますが、今回のケースでは、不正に発行された証明書を使ったソフトウェアをDefenderが脅威と誤認しているという見方が強まっています。つまり、警告が出たからといって、必ずしもPCが感染しているとは限りません。現時点では、セキュリティベンダー側が署名データベースを更新することで誤検知が解消される可能性が高いと考えられますそのため、以下のような対応が推奨されます。Defenderや他のセキュリティ製品のアップデートを定期的に確認する警告が出ても、慌ててOSを再インストールしたりせず、まず情報を確認するDigiCertやMicrosoftの続報をチェックするまとめ:実害よりも「証明書の信頼モデル」への影響が大きい事件今回の問題は、マルウェアそのものよりも、コード署名証明書というOSの信頼基盤が揺らいだことが本質的なポイントとなっています。正規の証明書が悪用されると、WindowsやDefenderのような仕組みでも正確な判別が難しくなり、結果として今回のような混乱が生じます。現在DigiCertはすでに証明書の失効を完了しており、Microsoftも対応を進めているため、ユーザー側は落ち着いてアップデートを待つのが最善と言えるでしょう。[via Neowin]