脅威アクターは、技術インフラを攻撃するのではなくヘルプデスクの脆弱性を悪用し、従業員の給与を攻撃者が管理する銀行口座へと巧妙に振り向けることに成功しました。
このインシデントは、脅威アクターの戦術における重大な変化を示しています。Unit 42の分析によれば、2025年に分析された全インシデントの36%はソーシャルエンジニアリングから始まっており、同社の「Global Incident Response Report: Social Engineering Edition」で報告されています。
攻撃者は単純な電話連絡から接触を開始し、給与、IT、人事にまたがる複数のヘルプデスクチームを操作するために、従業員になりすましました。
ソーシャルメディア・プラットフォームから収集した公開情報を用いて、脅威アクターはチャレンジレスポンス型の認証メカニズムを回避し、ヘルプデスク担当者にパスワードリセットの実行と多要素認証 (MFA)デバイスの再登録を行わせました。
攻撃者の偵察は周到でした。複数回電話をかけて本人確認の質問タイプを探り、認証回避の成功に必要なデータを段階的に蓄積していきました。
この偵察 フェーズでは、ソーシャルプラットフォーム上で容易に入手できる個人情報および職務関連情報の増加が悪用されました。
認証に成功すると、脅威アクターはAzure AD内で外部メールアドレスを認証手段として登録し、永続性を確立しました。
その後、複数の従業員アカウントを侵害し、口座振替(ダイレクトデポジット)の情報を体系的に変更して、給与を攻撃者が管理する口座へリダイレクトしました。
認証情報が正当なものに見え、MFAも正しく検証されていたため、不正行為は通常業務に自然に紛れ込みました。
このインシデントは、影響を受けた従業員が給与未着を報告するまで数週間にわたり検知されず、その後の社内調査を経て、最終的にフォレンジック分析のためUnit 42が関与することになりました。
Unit 42はCortex XSIAMを展開し、給与システム、人事インフラ、次世代ファイアウォールログにまたがるテレメトリを相関分析しました。
調査により、このインシデントは給与の振込先変更と3つの侵害アカウントに限定され、ラテラルムーブメントやより広範なデータ流出の証拠はないことが確認されました。
しかし調査では、予期せぬ二次的な発見もありました。組織のレガシーな運用技術(OT)環境内で進行中のWannaCry感染の証拠が見つかり、何年にもわたり未検知のまま存在していた可能性が示唆されました。
Unit 42は直ちに、アカウント侵害の封じ込め、不正な給与変更の取り消し、影響を受けたクラウドIDの制御回復に取り組みました。
ITおよびOT環境全体で実施された強化策には、ヘルプデスクの本人確認手順の強化、MFA強制のワークフロー強化、Cortex XSIAM連携によるアプリケーションログの改善、そしてWannaCryの足場の排除が含まれました。
このインシデントは、攻撃者が従来の技術的コントロールを回避し、人が関与するプロセスを悪用する傾向を強めていることを示しています。
ヘルプデスクは高い影響を及ぼし得る脆弱性の露出面であり、技術的な認証システムと同等のセキュリティ厳格性が求められます。
組織は環境を横断した統合的な可視性を実装し、ID関連の依頼に対する強固な検証手順を維持し、運用ワークフローを技術インフラに適用するのと同じセキュリティ規律で扱う必要があります。
翻訳元: https://cyberpress.org/employee-paycheck-redirection-without-system-breach/