Storm-2657として追跡されているサイバー犯罪グループが、2025年3月以降、アメリカの大学職員を標的に「給与海賊」攻撃で給与の乗っ取りを行っています。
このキャンペーンを発見したMicrosoft Threat Intelligenceのアナリストによると、攻撃者はWorkdayアカウントを標的にしていますが、他のサードパーティの人事(HR)ソフトウェアのSaaSプラットフォームもリスクにさらされている可能性があります。
「私たちは、3つの大学で11件のアカウントが侵害され、これらが利用されて25の大学にわたり約6,000件のメールアカウントにフィッシングメールが送信されたことを確認しました」とMicrosoftは木曜日のレポートで述べています。
「これらの攻撃はWorkdayプラットフォームや製品自体の脆弱性を示すものではなく、むしろ金銭目的の脅威アクターが高度なソーシャルエンジニアリング手法を用い、多要素認証(MFA)が全く導入されていない、またはフィッシング耐性のないMFAが使われていることを悪用してアカウントを侵害しています。」
攻撃者は、ターゲットごとにカスタマイズされた複数のテーマのフィッシングメールを使用しており、キャンパス内の感染症流行の警告や教職員の不正行為の報告などを装い、受信者をフィッシングリンクに誘導しています。
その他の例としては、大学学長を装って報酬や福利厚生に関する情報を共有するメールや、人事部から送信された偽の書類などがあります。
これらの攻撃では、Storm-2657がフィッシングメールを使って被害者のアカウントを侵害し、中間者攻撃(AITM)リンクを利用してMFAコードを盗み、脅威アクターがExchange Onlineアカウントにアクセスできるようにしています。
侵害されたアカウントに侵入した後、攻撃者は受信トレイルールを設定してWorkdayからの警告通知メールを削除し、さらなる変更を隠蔽します。これにより、シングルサインオン(SSO)を通じて被害者のWorkdayプロファイルにアクセスし、給与支払い設定を変更して自分たちの管理下にある口座へ支払いを転送することが可能になります。
「メールアカウントの侵害とWorkdayでの給与情報変更の後、攻撃者は新たにアクセスしたアカウントを利用して、組織内外の他大学にもフィッシングメールを拡散しました」とMicrosoftは付け加えています。
場合によっては、攻撃者が自分たちの電話番号をMFAデバイスとしてWorkdayプロファイルやDuo MFA設定を通じて登録し、永続的なアクセスを確保することもありました。これにより、自分たちのデバイスでさらなる悪意ある操作を承認し、検知を回避できるようになります。
Microsoftは影響を受けた顧客を特定し、一部には緩和支援のために連絡を取っています。本日のレポートでは、これらの攻撃の調査方法や、ユーザーアカウントを保護し攻撃を防ぐためのフィッシング耐性MFAの導入ガイダンスも共有しています。
このような「給与海賊」攻撃は、ビジネスメール詐欺(BEC)詐欺の一種であり、定期的に送金を行う企業や個人を標的にしています。
2024年には、FBIのインターネット犯罪苦情センター(IC3)が2万1,000件以上のBEC詐欺の苦情を記録しており、被害総額は27億ドルを超え、投資詐欺に次いで2番目に多い犯罪被害額となっています。
ただし、これらの数字は被害者から直接報告された、または法執行機関によって発見された既知のケースに基づいており、実際の被害額のごく一部に過ぎないと考えられます。
