給与支払いを狙った「ペイロール・パイレート(給与横取り)攻撃」が、カナダで深刻化している。Microsoftのセキュリティチームは、Storm-2755と名付けられた攻撃グループが多要素認証(MFA)すら迂回する高度な手口でカナダ企業の従業員アカウントを乗っ取り、給与振込先を密かに変更していることを警告した。単なるフィッシング詐欺と一線を画す今回の攻撃は、WorkdayやMicrosoft 365を使う日本企業にとっても決して他人事ではない。

AiTM攻撃とは何か——「MFA済みセッション」ごと奪われる

この攻撃の核心が「AiTM(Adversary-in-the-Middle、中間者攻撃)」だ。従来のフィッシングがIDとパスワードの窃取を狙うのに対し、AiTMはもっと狡猾な仕組みを使う。

攻撃者はリバースプロキシを用いて、ユーザーと本物のMicrosoft 365サインインページの間に割り込む。マルバタイジング(悪意ある広告)やSEOポイズニングで検索上位に偽サイトを表示させ、ユーザーはMFAを含めた認証を「普通に」完了してしまう。その瞬間、攻撃者はセッションクッキーとOAuthアクセストークンをリアルタイムで横取りする。

つまり被害者は「何も問題なかった」と感じたまま終わるが、攻撃者はその認証済みセッションを持っているため、パスワードもMFAコードも不要でMicrosoft 365にアクセスできてしまう。MicrosoftがこれをSMS・TOTPなどの「フィッシング耐性のないレガシーMFAを事実上バイパスする」と表現しているのはこのためだ。

精巧な「内部工作」——被害者が気づかない仕掛け

セッション乗っ取り後の動きが、この攻撃の巧妙さを際立たせている。

Step 1: 視界遮断 まず受信トレイに自動仕分けルールを作成し、「direct deposit」「bank」などのキーワードを含む人事部からのメールを、被害者が気づかない非表示フォルダに自動移動させる。後続の振込先変更に関する連絡が目に触れないようにする布石だ。

Step 2: ソーシャルエンジニアリング 次にHRスタッフへ「直接振込についての質問」という件名のメールを送り、銀行口座情報の更新を誘導する。

Step 3: 直接操作 ソーシャルエンジニアリングが通じない場合は、乗っ取ったセッションでWorkdayなどのHRシステムに直接ログインし、直接預金の設定を手動で変更する。

被害者が異変に気づいた時には、給与はすでに攻撃者の口座に振り込まれた後——というシナリオだ。

日本企業への影響——使っているツールが攻撃経路になる

日本でもWorkday、SAP SuccessFactors、その他の人事系クラウドシステムをMicrosoft 365と連携させて運用している企業は多い。Microsoft 365のセッションを奪われれば、シングルサインオン(SSO)経由で連携する各種システムへのアクセスも可能になるケースがある。

また、日本語環境でも「Microsoft 365 ログイン」などで検索した際の上位結果を無条件に信頼する習慣は危険だ。SEOポイズニングは言語を問わず機能する。

IT管理者が今すぐ取るべき対策

  • フィッシング耐性のあるMFAへの移行: FIDO2準拠のセキュリティキー(YubiKey等)やWindows Helloによる証明書ベース認証が有効。SMS・TOTPはAiTMに対して無力
  • 条件付きアクセスポリシーの強化: デバイスコンプライアンスチェックや準拠済みデバイスのみ許可する設定を徹底する
  • セッショントークン有効期限の短縮: Microsoft Entra IDのサインイン頻度ポリシーで長時間有効なトークンを制限する
  • HR系操作への追加承認フロー導入: 給与振込先変更などの機密操作は、単一セッション権限だけで完結できない設計にする
  • レガシー認証プロトコルの無効化: 基本認証(Basic Auth)が有効なままの環境は即座にブロックする

侵害が確認された場合は、侵害トークンとセッションの即時失効、悪意のある受信トレイルールの削除、影響アカウントのMFAメソッドと認証情報のリセットが必須だ。

筆者の見解

「MFAを有効にしているから安全」——この認識はもはや通用しない。AiTMが普及した今、それはむしろ「錠前をつけた扉の鍵のコピーを持っている相手と同居している」に近い状態だ。

ゼロトラストの核心は「認証したから信頼する」ではなく「認証しても継続的に検証する」にある。Continuous Access Evaluation(CAE)や条件付きアクセスは、まさにこうした脅威を想定して設計されている。ツールは揃っている。あとはそれを使いきる設計と運用だけだ。

日本の大企業では、旧来の境界防御思想と中途半端なMFA導入が同居しているケースが多い。表面上はセキュリティ強化に見えて、実態は新しい攻撃手法に対してほぼ無防備——という構造が珍しくない。正面からセキュリティに向き合う力も、使えるツールも十分にある。使いきれていないのがもったいない。

給与という最も個人に直結するデータを守れなければ、従業員の信頼は一瞬で崩れる。セキュリティ投資を「コスト」ではなく「組織への信頼の基盤」として捉える視点が、今こそ求められている。

出典: この記事は Microsoft: Canadian employees targeted in payroll pirate attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。