Windowsシステムを使用中のユーザーから、Microsoft Defenderが「Cerdigent」というトロイの木馬を検出したとの報告が世界中で相次いでいます。ただし現時点では、多くのアラートは実際のマルウェア感染ではなく誤検知の可能性があると示唆されています。
DigiCertの内部システムへの不正アクセスが発端
Mozilla公式のバグ追跡システム「Bugzilla」に提出されたレポートが問題の根本原因を示唆しています。認証局(CA)であるDigiCertのサポートアナリストのマシンが侵害され、攻撃者がDigiCertの内部サポートシステムへの限定的なアクセスを取得したとされています。
この侵害により、攻撃者は「限られた数のコード署名証明書」の初期化コードを入手できた可能性があります。このコードを承認済みの注文情報と組み合わせることで、WindowsやDefenderなどのセキュリティ製品が「信頼できるソフトウェア」と判断するような正規のコード署名証明書を生成できる状態になっていたとされています。
DigiCertが60件の証明書を失効処理——27件は脅威アクターと直接紐づけ
DigiCertは2026年4月14日から17日にかけて調査を実施し、問題のある証明書を特定・失効させました。DigiCertがBugzillaに提出したインシデントレポートでは次のように説明されています。
「調査の過程で、脅威アクターの行為によって影響を受けた可能性のある証明書を特定し次第、失効処理を行いました。DigiCertは以下のCAから発行された60件の証明書を失効させました:DigiCert Trusted G4 Code Signing RSA4096 SHA256 2021 CA1、DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1、GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1、Verokey High Assurance Secure Code EV」
失効した60件の内訳は以下のとおりです。
- 27件:脅威アクターに明示的に紐づけられた証明書(うち11件はコミュニティメンバーからの問題報告で特定、16件はDigiCert自身の調査で特定)
- 33件:予防措置として失効処理
BugzillaへのDigiCertのインシデントレポートによると、コミュニティメンバーによって特定された証明書は、「Zhong Stealer」マルウェアファミリーへの署名に使用されていたとされています。
「Cerdigent」アラートは誤検知の可能性が高い
現時点で入手できる情報によると、多くの「Cerdigent」アラートは実際の感染を示していない可能性があります。Microsoftの脅威データベースには「Cerdigent.A!dhaはデバイス上で悪意ある行為者が選択した複数の操作を実行できる」との記載があるものの、詳細な情報は乏しい状況です。
コード署名証明書はWindowsをはじめとする現代のOSの信頼モデルにおいて重要な役割を担っています。証明書が不正に利用されると、正規のソフトウェアと悪意あるソフトウェアの境界が曖昧になるため、セキュリティ製品が誤って検知を行うケースが生じます。今回はまさにそのシナリオに該当する可能性があります。
このアラートが表示されている場合は、セキュリティベンダーからの更新情報を継続的に確認することが推奨されています。誤検知が広範囲に及ぶケースでは、シグネチャの修正が迅速に配信されることが多く、今回も同様の対応が見込まれます。
現時点では「Cerdigent」アラートが表示されても即座にパニックになる必要はなく、Defenderのシグネチャ更新を待ちながら状況を注視するのが妥当な対応です。続報を待ちましょう。
Q&A
Q. 「Cerdigent」アラートが出たら、実際にマルウェアに感染しているのでしょうか? 現時点では、多くのアラートは誤検知の可能性があると示唆されています。DigiCertの証明書不正発行に起因するものとみられており、実際の感染を示していないケースが多いと報じられています。ただし確定的な情報ではないため、セキュリティベンダーの公式アップデートを確認することをお勧めします。
Q. 今すぐ何か対処すべきことはありますか? Microsoft Defenderおよびセキュリティソフトのシグネチャを最新の状態に保ち、ベンダーからの続報を待つことが推奨されています。誤検知が広範囲に及ぶ場合、シグネチャの修正は迅速に配信されることが多いとされています。
