本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。
キャンパスの朝、振込通知が来ないことに気づいた職員が首をかしげる。Microsoftは2025年10月9日、Workdayなどのクラウド型HRを乗っ取り、従業員の口座を攻撃者の口座へすり替える「給与海賊」攻撃の活発化を警告した。多要素認証さえ迂回する巧妙さが、静かな被害を広げている。
静かにすり替わる給与、現場で起きていること
被害の出発点は、日常と見分けがつきにくい通知の欠落にある。HRシステムで口座が変更されると通常は確認メールが届くが、攻撃者は受信箱にルールを作り、Workdayからの警告を自動で削除する。予兆が消えることで、給料の流れは気づかれぬままに曲げられるのである。
Microsoftは、金銭目的の脅威アクター「Storm-2657」が米国の大学を中心に従業員アカウントを乗っ取り、HRサービスに保存された支払い先情報を攻撃者の口座へ置き換えたと分析した。Workday自体の脆弱性ではなく、認証の隙や社会工学を突く手口が主因とみられる。
攻撃の道筋――メール一通から口座変更まで
入口は一通のフィッシングメールだ。攻撃者は本物そっくりの誘導リンクを送り、偽サイトで認証情報を入力させる。さらに中間者型の仕掛けでMFAコードも奪い、正規のサイトに中継してログインを成立させる。メールの送信元が既存の大学アカウントに見える例も確認されている。
侵入後は、シングルサインオン経由でWorkdayに入り、「Manage Payment Elections」などの機能から振込先を変更する。あわせて受信箱ルールの作成や、本人になりすましたMFA端末の登録で持続性を確保する。証跡は残るが、通知が隠されれば現場での発見は遅れがちだ。
メールの題材は緻密だ。キャンパスでの感染症ばく露通知、福利厚生の更新案内、学長名義の重要文書共有など、立場や組織名を織り込んで信ぴょう性を高める。ある組織では約500人に送られ、およそ1割が不審と通報したが、十分な抑止には至らなかったという。
広がりと備え――数字が示す脅威と現実的な対策
現時点で確認されている範囲では、2025年3月以降に3つの大学で11件のアカウント侵害が発生し、25の大学で約6000件のメールアカウントにフィッシングが送られた。被害規模は限定的に映る一方、同様の手口はあらゆるHR SaaSに転用可能で、裾野の広がりが懸念される。
対策は原点回帰だ。MicrosoftはFIDO2などのフィッシング耐性の高いMFAやパスワードレスの導入、特権ロールでの強制適用を強く推奨する。加えて、直ちに資格情報のリセットとセッション無効化、最近追加されたMFA端末の見直し、未承認の受信箱ルールの削除を挙げている。
運用面では、HR変更通知が確実に届くかの検証、Workdayの監査ログや「Change My Account」「Manage Payment Elections」イベントの監視が要る。日本の組織でも、同様の誘導メールは十分想定される。次の給料日を守る準備を、今日から積み上げたいところだ。
