マイクロソフトの脅威インテリジェンスチームは、米国の大学の給与システムを狙った新たな金銭目的のサイバー犯罪が急増していると警鐘を鳴らしています。
ブログ記事によると、レドモンドはStorm-2657と呼ばれるサイバー犯罪グループが2025年3月から大学職員を標的にし、Workdayなどの人事ソフトウェアに侵入して給与を乗っ取っていると述べています。
この攻撃は大胆かつ単純で、人事やメールアカウントを侵害し、密かに給与設定を変更して、給与を攻撃者が管理する銀行口座に送金します。マイクロソフトはこの作戦を「ペイロール・パイレーツ」と名付け、犯罪者が雇用主のシステムに直接触れることなく職員の給与を略奪する手口を表現しています。
Storm-2657の攻撃キャンペーンは、敵対者中間者(AiTM)技術を使って多要素認証(MFA)コードを収集するフィッシングメールから始まります。侵入後、攻撃者はExchange Onlineアカウントを突破し、受信トレイルールを挿入して人事関連のメッセージを隠したり削除したりします。そこから、盗んだ認証情報やSSO連携を使ってWorkdayにアクセスし、給与の振込先情報を変更して今後の支払いが自分たちに届くようにします。
マイクロソフトは、これらの攻撃がWorkday自体の脆弱性を突いているわけではないと強調しています。弱点は不十分なMFA運用やずさんな設定にあり、レドモンドは従来型やフィッシングされやすいMFAに依存している組織は格好の標的だと警告しています。
「2025年3月以降、3つの大学で11件のアカウントが侵害され、これらのアカウントから25大学の約6,000件のメールアカウントにフィッシングメールが送信されました」とマイクロソフトは説明しています。これらの誘導メールは、偽の人事通知、教員の不正行為報告、病気の集団発生に関する連絡など、学術的な精度で作成されており、Googleドキュメントの共有リンクを通じてフィルタリングを回避し、日常的な連絡のように見せかけています。
あるケースでは、「病気の曝露状況を確認してください」と促すフィッシングメッセージが1つの大学内で500人に送信され、約10%しか不審だと報告しなかったとマイクロソフトは述べています。
アクセスを確保した後、攻撃者は侵害したプロフィールやDuo設定を通じて自分たちの電話番号をMFAデバイスとして追加し、その後の承認が自分たちに届くようにします。この一連のプロセスは被害者が変更された通知を一切見ないため、静かに進行します。
この詐欺を検知するにはシステム横断的な可視性が必要ですが、多くの大学にはそれがありません。マイクロソフトは、Exchange OnlineとWorkday間のテレメトリを相関させることを推奨し、セキュリティチームは「@myworkday.com」を参照する新しい受信トレイルール、不審なMFA登録、「アカウント変更」や「支払い選択の管理」などのWorkdayイベントに注意を払うべきだとしています。
マイクロソフトによれば、防御の第一歩はパスワードを完全に廃止し、FIDO2キーやパスキー、Windows Helloなどフィッシング耐性のある手法を導入することです。侵害が疑われる場合は、ただちに認証情報のリセット、不正なMFAデバイスの削除、悪意あるメールルールの削除、給与設定の復元などの措置を取る必要があります。
大学や大規模な雇用主は、次の給料日が危険にさらされる前にMFAの防御を強化すべき時です。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/10/microsoft_payroll_pirate/
