- 攻撃者はヘルプデスク担当者を悪用し、給与システムへの不正アクセスを得る
- ソーシャルエンジニアリングにより、警告を発生させずに従業員の給与を別口座へ振り向けられる
- 個々の給与明細を狙うことで、法執行機関や企業の監視の目をかいくぐる
給与システムはサイバー犯罪者からの標的となるケースが増えており、特にボーナスや年末の支払いが見込まれる時期に狙われやすい。
Okta Threat Intelligenceの報告によると、攻撃者はインフラへの侵入よりも、給与へのアクセスを取り巻く人の手続き(プロセス)を悪用することに重点を置いている。
ランサムウェアを展開したり大規模なフィッシングキャンペーンを行ったりするのではなく、これらの攻撃者はアカウント復旧のワークフローを操作して、個々の給与をひそかに流用することを狙っている。
ヘルプデスクが弱点として浮上
Oktaは、O-UNC-034として知られるキャンペーンを追跡する中で、攻撃者が企業のヘルプデスクに直接電話をかけていると報告した。
正規の従業員になりすまし、技術的な脆弱性の悪用ではなくソーシャルエンジニアリングに頼って、パスワードのリセットやアカウント変更を依頼する。
こうした電話は教育、製造、小売の各分野の組織に影響しており、特定の業界だけが狙われているわけではないことを示している。
いったんアクセスが付与されると、攻撃者は侵害したアカウントの支配を維持するため、自分たちの認証方法を登録しようとする。
従業員アカウントを乗っ取った後、攻撃者はWorkday、Dayforce HCM、ADPなどの給与プラットフォームへ素早く移動する。
そして銀行口座情報を変更し、今後の支払いが別の口座へ振り向けられるようにするが、多くの場合すぐには発覚しない。
窃取の対象が個々の給与であるため、損失額は単体で見ると小さく見えることがある。
その結果、迅速なエスカレーションや法執行機関の関心を招きにくくなる。
しかし大規模に行えば、この手法は大きなリターンを生み、より大きな侵害に紐づく警報を鳴らすことなく本人確認情報の窃取(ID盗用)を可能にする。
脅威アナリストは、個々の給与を盗む方が、大規模なデータ侵害や恐喝キャンペーンより目立ちにくいと示唆している。
攻撃者は基本的な偵察によって標的をさらに絞り込み、高所得者や退職金の支払いが予定されている従業員に焦点を当てることもできる。
以前のキャンペーンはマルバタイジングや認証情報のフィッシングに依存していたが、ライブの電話対応へ移行したことは、技術的防御を完全に回避する戦術を反映している。
説得力のある会話の中で攻撃者が自発的に認証情報を入手してしまえば、アンチウイルスツールではほとんど防げない。
同様に、マルウェア除去ツールは他の脅威には有効であっても、この種の攻撃には対処できない。
セキュリティ上の指針では、アカウント復旧の依頼を扱うサポート担当者に対し、厳格な本人確認手順を徹底することが強調されている。
一次対応のヘルプデスク担当者には、認証要素を直接変更しないことが推奨されており、本人確認に成功した後にのみ一時的なアクセスコードを発行するよう求められている。
また組織には、機微なアプリケーションへのアクセスを管理対象デバイスに限定し、通常と異なる場所やネットワークから発生した依頼にはより厳格な精査を適用することも推奨されている。
「給与詐欺の攻撃者が、ユーザーアカウントへのアクセスを得るためにヘルプデスクの担当者を狙う脅威アクター集団の増加に加わっているのを見るのは興味深い」と、Oktaの脅威インテリジェンス担当バイスプレジデントであるブレット・ウィンターフォード氏は述べる。
「この状況は、ITサポート担当者に、着信した電話の発信者の身元を確認するために必要なツールを提供すること、そして不正な発信者がアカウントを乗っ取る能力を制限するアカウント復旧オプションを提供することの重要性を浮き彫りにしている。」
