Generatived（Beta）｜生成AIの最新ニュースとトレンドを提供

Microsoft Threat Intelligenceは、従業員のアカウントに侵入し、給与支払経路を不正に変更するサイバー犯罪グループ「Storm-2657」を検知しました。この「給与海賊」攻撃は、高等教育機関の従業員を中心に、米国の様々な組織を標的としています。攻撃者は、高度なソーシャルエンジニアリングと堅牢な多要素認証（MFA）の欠如を悪用し、 Workdayなどの人事SaaSプラットフォームを悪用しています。

2025年上半期には、Storm-2657がWorkdayのプロファイルを特に標的としましたが、この手法はあらゆる人事システムや支払システムに応用可能です。Microsoftは、これらのインシデントはWorkdayプラットフォームの脆弱性によるものではなく、脅威アクターの戦術によるものであると強調しています。Workdayは顧客向けにこれらの脅威を軽減するためのガイダンスを公開しており、Microsoftは意識向上におけるWorkdayの協力に感謝の意を表しています。

マイクロソフトは、影響を受けたお客様に積極的に連絡を取り、Storm-2657で使用された分析、戦術、手法、手順（TTP）を提供し、調査と修復に関するガイダンスを提供しています。また、ユーザーアカウントを保護するためにフィッシング耐性のあるMFAの実装を推奨し、組織がこれらのサイバー攻撃を防御し、阻止できるよう、検出ツールとハンティングクエリを提供しています。

キャンペーン分析によると、Storm-2657は当初、MFAコードを盗み出すためのフィッシングメールを通じてアカウントにアクセスしました。侵入後、 Workdayのプロファイルを操作し、受信トレイルールを設定して活動を隠蔽しました。その後、攻撃者は給与計算の設定を改ざんし、給与の支払いを自身のアカウントにリダイレクトしました。マイクロソフトの分析には、こうした改ざんを識別するための指標が含まれており、フィッシング耐性のあるMFA方式とパスワードレス認証を導入することで、セキュリティとユーザーエクスペリエンスを強化することが推奨されています。また、修復手順も示し、Microsoft Defender XDRが提供する統合型保護機能についても強調しています。