概要:Microsoft従業員アカウントを狙った給与窃盗攻撃
Microsoft Threat Intelligenceは、従業員アカウントを乗っ取り、給与支払いを攻撃者管理下の銀行口座に転送する、巧妙な「給与海賊」攻撃の急増について警告を発しています。この攻撃は、金銭的動機を持つ脅威アクターによって実行されており、特にStorm-2657として追跡されているグループが活発です。
攻撃の詳細:Storm-2657の手口
2025年前半、Storm-2657は大学職員を標的とした大規模なフィッシングキャンペーンを展開し、認証情報と多要素認証(MFA)コードを窃取しました。攻撃者は、キャンパスでの病気発生や教員の不正行為を装った巧妙なフィッシングメールを送りつけ、Google Docsページへのリンクを通じて被害者をAITM(Adversary-in-the-Middle)フィッシングドメインにリダイレクトしました。
この脅威アクターは、特に米国の高等教育機関を標的とし、Workdayなどのサードパーティ製人事(HR)SaaSプラットフォームを侵害して給与設定を変更し、賃金を横領していることが確認されています。実際に、3つの大学で合計11の従業員アカウントが侵害され、そこから25の機関に6,000通以上のフィッシングメールが送信されました。
多くのケースで、フィッシング耐性のないMFAの欠如が、脅威アクターによるワンタイムコードの傍受とアカウント保護のバイパスを許しました。侵害後、Storm-2657は標的のExchange Onlineアカウント内で、Workdayからの警告メールを無効にする受信トレイルールを作成しました。これにより、被害者に知られることなくWorkdayプロファイル内の給与支払い設定を変更し、その後の給与を悪意のある口座に振り込ませました。
さらに、永続性を確保するため、Storm-2657はWorkdayのプロファイル設定またはDuo MFAを通じて、個人の電話番号をMFAデバイスとして登録し、侵害されたユーザーからの追加承認を不要にしました。
推奨される対策と検出方法
Microsoftは、影響を受けた顧客に対し、インシデント対応を支援するための詳細な戦術、技術、手順(TTPs)を共有しています。組織は、以下の対策を講じることで防御を強化することが推奨されます。
- フィッシング耐性のあるMFAの実装:FIDO2セキュリティキー、Windows Hello for Business、またはMicrosoft Authenticatorを介したパスキーなど、フィッシング耐性のあるMFAを導入します。
- 特権ロールへの適用:Microsoft Entra ID内のすべての特権ロールおよびHR関連ロールに対して、これらの認証方法を強制します。
- 検出機能の活用:Microsoft Defender for Cloud Appsは、Exchange OnlineとWorkdayからのシグナルを関連付け、疑わしい受信トレイルールの作成や給与設定の変更を検出します。
- 監査ログの監視:「Payment Elections」や「Direct Deposit」を含むメールの削除、および「Change My Account」や「Manage Payment Elections」というラベルの監査イベントを監視します。
- Defender XDRとMicrosoft Sentinelの活用:これらのツールで提供される事前構築済みハンティングクエリを利用し、.eduドメインからの大量フィッシングメール送信、リスクの高いサインイン、異常なログインから数時間以内に発生する新しいMFAデバイス登録を特定します。
侵害が発生した場合、Microsoftは以下の即時対応を推奨しています。
- 認証情報のリセットとすべてのセッションの取り消し。
- 不正な受信トレイルールの削除。
- 疑わしいMFAデバイスの確認、再登録、または削除。
- HRシステム内の給与または銀行口座の変更を元に戻す。
組織はまた、Defender for Cloud AppsでWorkdayコネクタを有効にし、Sentinelに脅威インテリジェンスマッピング分析を展開して、既知の悪意のあるドメインや行動パターンの監視を自動化する必要があります。
結論
サイバー犯罪者が給与窃盗にますます焦点を当てる中、MicrosoftとWorkday間の協力は、共有された脅威インテリジェンスと共同の緩和努力の重要性を浮き彫りにしています。パスワードレスでフィッシング耐性のある認証を採用し、高度な検出機能を活用することは、ユーザーアカウントを保護し、進化する「給与海賊」スキームから従業員の報酬を守る上で極めて重要です。