偽装IT採用の検知: Microsoft Defender活用法

はじめに

Microsoft は組織に対し、深刻化する脅威について警告しています。それは、盗用または偽造した ID を使って採用され、企業システムへの正当なアクセス権を得る偽のリモート IT ワーカーです。Microsoft 365、Defender、SaaS 連携を管理するセキュリティ チームにとって重要なのは、この攻撃が通常の人事プロセスから始まり、短期間で ID およびデータ セキュリティ インシデントへ発展し得る点です。

新たなポイント

Microsoft の最新ガイダンスでは、採用ライフサイクル全体にわたってこの活動をどのように検知できるかが説明されており、この手口の既知の事例として Jasper Sleet が挙げられています。

Workday における採用前検知

Microsoft は、外部の採用サイト経由で公開された Workday Recruiting Web Service エンドポイントの不審な利用を観測しました。主な挙動は次のとおりです。

• hrrecruiting/* API エンドポイントへの繰り返しアクセス
• 求人応募、履歴書、質問票 API の呼び出し
• 複数の外部アカウントで同じ反復的なアクセス パターンを確認
• 既知の脅威アクター インフラストラクチャから発生するアクティビティ

Microsoft Defender for Cloud Apps Workday connector を使用することで、組織はこれらの API 呼び出しを追跡し、外部アカウントを特定し、脅威インテリジェンスと照合してアクティビティを比較できます。

採用フェーズの調査

面接や書類処理の段階では、次のような追加シグナルも相関分析する必要があります。

• 採用担当チームとの不審なメールのやり取り
• リスクの高い IP アドレスまたはアカウントからの外部 Teams メッセージ
• Defender for Cloud Apps connectors 経由で確認される Zoom または Cisco Webex のアクティビティ
• 不審な送信元による内定通知書に関連した DocuSign のアクティビティ

これにより、セキュリティ部門と人事部門は、プロセスのより早い段階で不正な候補者を特定できます。

採用後の ID と SaaS の監視

採用後は、アクターが正規アカウントを取得するため、リスクが高まります。Microsoft は、新入社員の Workday サインインや給与変更が既知の悪意あるインフラストラクチャから行われた事例を確認しています。オンボーディング後、担当者は次の点を監視する必要があります。

• 新入社員アカウントでの Impossible travel アラート
• 匿名プロキシまたは通常と異なる場所からのアクセス
• Teams、SharePoint、OneDrive、Exchange Online における検索およびダウンロード活動
• 雇用開始後数週間から数か月の間に見られる異常なデータ アクセス パターン

IT 管理者にとって重要な理由

これは単なる人事上の問題ではありません。不正な採用者は、有効な資格情報と承認済みアクセスを得るため、従来の境界防御の多くを回避できる可能性があります。セキュリティ チームは、この挙動を早期に捉えるために、HR システム、Entra ID、Microsoft 365、サードパーティのコラボレーション ツール全体を可視化する必要があります。

推奨される次のステップ

• hrrecruiting/* の反復的なアクティビティについて Workday API テレメトリを確認する
• 該当する場合は、Workday、Zoom、Webex、DocuSign 向け Defender for Cloud Apps connectors を有効化し、正常に動作していることを検証する
• 候補者および外部アカウントが関与する不審なコミュニケーションをハンティングする
• 新入社員の ID について、Impossible travel、プロキシ利用、異常な Microsoft 365 アクセスを厳密に監視する
• 不審なオンボーディング イベントに対して、人事部門とセキュリティ部門が連携して調査する

リモート採用プログラムを実施している組織は、採用ワークフローを ID 攻撃対象領域の一部として扱い、脅威ハンティングと検知戦略に組み込むべきです。