Storm-2755給与攻撃がカナダの従業員を標的に

はじめに

Microsoft Incident Responseは、カナダのユーザーに対していわゆるpayroll pirate攻撃を展開する脅威アクターStorm-2755に関する新たな調査結果を公開しました。IT部門およびセキュリティチームにとって注目すべき点は、このキャンペーンがSEO poisoning、malvertising、adversary-in-the-middle (AiTM) フィッシングを組み合わせ、認証済みセッションを乗っ取って従業員の給与振込先を変更していることです。

これはカナダだけの問題ではありません。この攻撃手法は、Microsoft 365やオンラインのHR・給与プラットフォームに依存するあらゆる組織に再利用される可能性があります。

新たに判明したこと

Microsoftによると、Storm-2755は特定業種ではなく、カナダのユーザーを広域に地理的標的化することに重点を置いた、特徴的な攻撃チェーンを使用していました。

確認された主な手法

• SEO poisoningとmalvertisingにより、「Office 365」やその類似スペルの検索結果から、被害者を攻撃者管理下のドメインへ誘導しました。
• 被害者は、認証情報とセッショントークンを窃取するために作られた偽のMicrosoft 365サインインページへ送られました。
• 攻撃者はAiTM手法を使ってセッションクッキーとOAuthトークンを取得し、phishing-resistantではないMFAを回避しました。
• Microsoftは不審なAxios 1.7.9 user-agent activityを観測し、このフローがCVE-2025-27152に関する懸念を含む既知のAxios関連悪用と結び付いているとしました。
• アクセス後、Storm-2755は給与およびHR関連リソースを探し、その後**“Question about direct deposit.”** のようなメールで従業員になりすましました。
• 一部のケースでは、「direct deposit」や「bank」 といった語を含むメッセージを隠すため、inbox rulesも作成していました。

管理者と組織への影響

最も差し迫ったリスクは直接的な金銭的損失です。アカウントが侵害されると、攻撃者は正規のセッションを使って通常の業務活動に紛れ込めるため、検知はより困難になります。

管理者は、従来型のMFAだけではトークン窃取に対して十分ではない場合がある点にも注意すべきです。AiTM攻撃は認証済みセッションを再利用するため、旧来のMFA方式に依存する組織は依然としてリスクにさらされる可能性があります。

ITチームが次に取るべき対応

Microsoftは、トークン再利用とフィッシング成功率を低減する緩和策を優先するよう推奨しています。

実施項目

• FIDO2/WebAuthn などのphishing-resistant MFAを導入する。
• サインインログでerror 50199、異常なsession continuity、およびAxios user-agentの活動を確認する。
• OfficeHome、Outlook、My Sign-Ins、My Profileなどのアプリに対する繰り返しのnon-interactive sign-insを監視する。
• bankingまたはdirect depositに関連するキーワードを対象に、inbox rulesを監査する。
• WorkdayなどのHRおよび給与プラットフォームへの不審なアクセスを調査する。
• 侵害が疑われるアカウントについて、アクティブなセッショントークンを失効させ、認証情報をリセットする。
• 検索結果を悪用したフィッシングや偽のMicrosoft 365ログインページについてユーザー教育を行う。

まとめ

Storm-2755は、現代のフィッシングキャンペーンが単純な認証情報窃取から、現実の金銭被害を伴うセッション乗っ取りへと進化していることを示しています。Microsoft 365を利用する組織は、phishing-resistant認証を見直し、異常なサインイン動作の監視を強化するとともに、給与変更の確認プロセスについてセキュリティ部門とHR部門が連携すべきです。