“給料が振り込まれない”――MFAの不備を突く「給与振込先変更」詐欺の仕組み：気付いたら給料が別の口座に

Microsoftは、米国の教育機関などを中心に発生している“給与抜き取り型サイバー攻撃”を確認したと発表した。

[TechTarget]

　Microsoftは2025年10月9日（米国時間）、他人の給与振り込み口座情報を攻撃者側の情報に書き換えて給与を奪う攻撃者グループ「Storm-2657」の活動が活発化していると発表した。

　Microsoftによると、Storm-2657は人材管理・財務ソフトウェアベンダーWorkdayの同名SaaS（Software as a Service）を導入している大学や教育機関の職員を標的としている。同社によると、人事情報や給与情報、銀行口座情報を管理するWorkday以外のSaaSも同様の手法で狙われる恐れがあるという。Storm-2657の攻撃手法は「Payroll Pirate」（給与海賊）と呼ばれている。

警告通知メールを自動削除

併せて読みたいお薦め記事

サイバー攻撃に備える

• アサヒグループホールディングスへのサイバー攻撃 製造業が学ぶべき教訓とは
• 生成AIで「情報漏えい」や「罰金」も 最悪の事態を招きかねない6つのリスク

　攻撃の中心となる手法は、従来の認証情報だけでなく、正規のユーザーと正規のWebサイトとの間に攻撃者が割り込む「AiTM」（中間者攻撃）だ。これによって攻撃者は正規ユーザーになりすまし、Microsoftのメールサービス「Exchange Online」やWorkdayのプロファイルへ不正アクセスする。侵害後、Workdayからの警告通知メールを自動削除する受信トレイルールを作成し、給与情報変更の通知を被害者が確認できないようにする。その後、シングルサインオンを通じてログインし、給与振込先や多要素認証（MFA）の設定を改ざん。攻撃者の電話番号を登録して持続的にアクセス可能な状態を維持する。

　Microsoftは、一連の攻撃はWorkdayのシステム自体の脆弱（ぜいじゃく）性を突いたものではないと指摘する。同社によると、攻撃の原因は「MFAの未導入」や、「フィッシング耐性のないMFAの運用体制」を悪用したものだ。

　防御策としてMicrosoftは、パスワードを利用しない、フィッシング耐性のあるMFAとして以下の導入を推奨している。

• パスキー認証
  • 標準化団体のFIDO AllianceとW3C（World Wide Web Consortium）が策定した認証の標準規格「FIDO2」に基づく認証機能。
• 「Windows Hello for Business」
  • 生体情報やPIN（Personal Identification Number）などを用いて、パスワードに依存しない本人確認を実現する認証機能。

　さらにMicrosoftは、「Microsoft Defender for Cloud Apps」を用いて、Workdayの給与や経費の支払い管理機能「Manage Payment Elections」やExchange Onlineのメール削除操作など、複数システムをまたぐ不審な変更を可視化することを薦めている。