概要:大学を狙う「給与海賊」攻撃
Microsoft Threat Intelligenceが追跡するサイバー犯罪集団「Storm-2657」が、2025年3月以降、米国の大学職員を標的とした「給与海賊」攻撃を展開しています。この攻撃は、大学の給与支払いを乗っ取ることを目的としています。標的はWorkdayアカウントですが、他のサードパーティ製人事(HR)SaaSプラットフォームも危険にさらされる可能性があるとされています。
Microsoftは、この攻撃がWorkdayプラットフォームの脆弱性を悪用したものではなく、高度なソーシャルエンジニアリングと多要素認証(MFA)の欠如、またはフィッシング耐性のあるMFAの不足を悪用してアカウントを侵害していると指摘しています。
攻撃の手口と影響
Storm-2657は、標的ごとにカスタマイズされたフィッシングメールを送信しています。そのテーマは、キャンパスでの病気発生の警告から教員の不正行為報告まで多岐にわたります。大学学長を装ったメール、報酬や福利厚生に関する情報、HRからの偽の文書なども利用されました。
攻撃者は、フィッシングメール内のAdversary-in-the-Middle (AITM) リンクを悪用してMFAコードを盗み、Exchange Onlineアカウントへのアクセス権を取得します。侵害後、受信トレイにルールを設定し、Workdayからの警告通知メールを削除することで、給与支払い設定の変更や、攻撃者管理下の口座への支払いリダイレクトを隠蔽しました。
さらに、侵害されたアカウントは、組織内および他の大学へのさらなるフィッシングメールの送信にも悪用されました。一部のケースでは、攻撃者は自身の電話番号をMFAデバイスとして登録し、永続的なアクセスを確立していたことも判明しています。
被害状況とMicrosoftの対応
Microsoftは、3つの大学で11件のアカウントが侵害され、25の大学の約6,000のメールアカウントにフィッシングメールが送信されたことを確認しています。
Microsoftは影響を受けた顧客を特定し、緩和策を支援するために一部の顧客に連絡を取りました。同社は、これらの攻撃を調査し、ユーザーアカウントを保護するためのフィッシング耐性のあるMFAの実装に関するガイダンスも提供しています。
「給与海賊」攻撃の背景
「給与海賊」攻撃は、ビジネスメール詐欺(BEC)の一種です。FBIのInternet Crime Complaint Center (IC3) によると、2024年には21,000件以上のBEC詐欺の苦情が記録され、27億ドル以上の損失が発生しました。これは投資詐欺に次いで2番目に収益性の高い犯罪タイプです。これらの数字は報告された既知のケースに基づくものであり、実際の損失はさらに大きいと推測されます。