独占 詐欺師が人々の給与を狙う場合、「地球上のすべての従業員が標的になる」とBinary Defenseのセキュリティ調査員John Dwyerは述べています。
2025年12月、マネージド検知・対応企業であるBinary DefenseのARC Labs脅威研究グループは、ヘルプデスクへの電話から始まる非常にシンプルな攻撃を使用して、泥棒が医師の給与を自分の口座に転送したというセキュリティインシデントを調査しました。
「これは技術ではなく、人とプロセスを悪用したものでした」と、副CTOでArc Labsの責任者であるDwyerはThe Registerの独占インタビューで語りました。「技術に隣接したものです。これは、純粋なソーシャルエンジニアリングによる身元盗難から、推奨されるよりも弱い内部プロセスを悪用してアクセスを取得したものでした。」
攻撃者は、医療施設の共有メールボックスに属する侵害された認証情報を使用しました。Binary Defenseのインシデント対応者は、攻撃者がどのように認証情報を入手したかは確実には言えません。Dwyerは、フィッシングの証拠は見つからず、犯罪者が以前の侵害からメールログイン情報を入手したと推測していると述べました。
攻撃者はメールボックスへのアクセスを取得すると、周囲を探り、パスワードと多要素認証(MFA)のリセットを要求するためにヘルプデスクに電話をかける際に、誰の身元になりすますかを決定しました。
このケースでは、攻撃者はアカウントからロックアウトされ、患者を治療できない医師のふりをしました。
「電話は基本的に、この人がアカウントにログインできず、今すぐ診察しなければならない患者がいて、すぐにアクセスする必要があるという内容でした」とDwyerは述べました。偽の医師の名前とアクセスレベルは確認できたため、ヘルプデスクの従業員はパスワードとMFAトークンをリセットしました。これにより、攻撃者はアカウントへのアクセスを取得し、残りの給与詐欺を実行することができました。
技術に隣接したものです。これは、純粋なソーシャルエンジニアリングによる身元盗難から、推奨されるよりも弱い内部プロセスを悪用してアクセスを取得したものでした
「ここからが非常に、非常に興味深いところです」とDwyerは述べました。「私たちがこの種のインシデントを目にした昨年、それは従来のビジネスメール侵害攻撃のフローに従っていました。」
大学職員を標的とし、Microsoftが文書化したそのような攻撃の1つでは、デジタル泥棒が従業員アカウントを侵害してWorkdayのようなHRプラットフォームへのアクセスを取得し、従業員の直接入金給与を転送しました。攻撃者はフィッシングメールを通じて初期アクセスを取得し、敵対者中間者フィッシングリンクを介してMFAコードを盗み、被害者のMicrosoft Exchange Onlineの受信トレイにアクセスしてから、Workdayプロファイルを乗っ取り、攻撃者が管理する口座に給与を送りました。
「身元が新しい境界線」
「すべてはそのアクセス、そのMicrosoftアカウントのメールボックスを通じて行われます」とDwyerは述べ、医師を標的とした攻撃は異なって見えたと付け加えました。ヘルプデスクのソーシャルエンジニアリング電話から医師の身元を「回復」した後、攻撃者は医療組織自身の仮想デスクトップインフラストラクチャから認証し、新しい認証デバイスをアカウントに登録し、Workday給与システムにログインしました。
Workdayにログインすると、犯罪者は銀行情報と直接入金の詳細を変更して、医師の給与を攻撃者が管理する口座に転送しました。
これはプロセスの悪用と身元の乗っ取りに関するもので、悪意のある身元の行動と正常な身元の行動を識別することが非常に困難になります
会社自身の仮想インフラストラクチャを使用することで、攻撃者はセキュリティ検知をバイパスできました。なぜなら、ログインは信頼されたエンドポイントと内部IPアドレスを持つ正当な内部ユーザーのように見えたからです。
「この攻撃で本当に際立っていた大きなことは、攻撃者が彼らに対する検知戦略を認識しているように見えることです」とDwyerは述べました。「この攻撃は純粋にメール外で実行され、VDIインフラストラクチャを通じた信頼されたアクセスを利用していました。組織自身の仮想デスクトップインフラストラクチャを悪用することで、セキュリティツールの観点からは、すべてが正常で信頼されているように見えます。」
組織は、医師が給与を受け取っていない理由を尋ねるまで、侵害されていることに気づいていませんでした。
「常に技術のハッキングに関するものではありません」とDwyerは述べました。「これはプロセスの悪用と身元の乗っ取りに関するもので、悪意のある身元の行動と正常な身元の行動を識別することが非常に困難になります。身元が新しい境界線であり、これはあなたのペルソナをコンピュータや電話だけでなく、特権資産として扱う必要がある新しい脅威ベクトルです。」
共有メールボックスの使用に関するセキュリティ脅威を強調することに加えて、このインシデントは、給与とHRプラットフォームが攻撃者にとって高価値の標的としてどのように見なされるべきかを示しています、とDwyerは付け加えました。防御者にとって、これは給与情報を脅威検知のためのテレメトリーストリームとして扱い、給与の変更を高リスクの金融イベントとして扱うことを必要とします。
「良いニュースは、私たちがすでにこれに関するモデルを持っていることです – 電信詐欺や支払いと買掛金詐欺から学んだ教訓がここに適用されます」とDwyerは述べました。「直接入金情報に加えられた変更は、何らかのメカニズムで確認される必要があり、詐欺検知レビューを通過する間の一時的な保留期間があるべきです、またはそのようなものです。」
組織はこれを行う技術を持っていますが、このタイプのセキュリティとビジネスリスクに対処するためのプロセスが必ずしも整っているわけではない、と彼は付け加えました。
「組織は直接入金を正当で実行可能な脅威ベクトルとして考慮する必要があります」とDwyerは述べました。「もし私がビジネスリーダーだったら、これに先手を打ちたいと思います。なぜなら、失われた給与をめぐって従業員との仲裁に入りたくないからです。」 ®
