Microsoftが「給与振込口座がいつの間にか見知らぬ口座にすり替えられる」給与海賊(ペイロールパイレーツ)というサイバー攻撃について警告

2025年10月11日 19時00分 セキュリティ

Microsoftが、Workdayやその他のクラウドベースのHRサービスで従業員のアカウントを乗っ取り、従業員の給与振込口座を攻撃者が管理する口座に勝手に変更してしまう「給与海賊(ペイロールパイレーツ)」と呼ばれるサイバー攻撃が活発化していると警告しました。

Investigating targeted “payroll pirate” attacks affecting US universities | Microsoft Security Blog

https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/

Microsoft warns of new “Payroll Pirate” scam stealing employees’ direct deposits - Ars Technica https://arstechnica.com/security/2025/10/payroll-pirate-phishing-scam-that-takes-over-workday-accounts-steals-paychecks/

Microsoftによると、「給与海賊」と呼ばれるサイバー攻撃は、フィッシングメール経由で被害者のHRサービスアカウントにアクセスし、アカウントの認証情報を盗み出します。攻撃者は中間者攻撃的な戦術を用いることで、被害者の使用している多要素認証(MFA)コードも盗み出すそうです。

攻撃者は盗んだ認証情報を使って従業員の個人情報を管理するHRサービスにログイン。そして、従業員が給与の振込先として指定している銀行口座を攻撃者が管理する口座に変更します。これにより、アカウントを乗っ取られた従業員の給与が攻撃者に支払われることとなってしまうわけです。例えばWorkdayの場合、給与の振込先である銀行口座を変更すると、その旨を確認するメールが送信されます。攻撃者はこのメッセージが送信されることを防ぐため、被害者のメールアドレスの受信トレイでWorkdayからのメッセージが表示されなくなるようフィルターなどを作成するそうです。

Microsoftは「脅威アクターは、複数の大学のアカウントを標的に、本物そっくりのフィッシングメールを用いて認証情報を入手しました」「2025年3月以降、3つの大学で11件のアカウントが侵害され、25の大学で約6000件ものメールアカウントにフィッシングメールが送信されたことを確認しています」と報告しています。 給与海賊の一連の流れを記した図が以下。攻撃者(Storm-2657)はフィッシングメールで標的に接触し、標的にメールに貼られたURLをクリックして偽装サイトでHRサービスのアカウント認証情報を入力した場合、これを盗み出します。この認証情報を用いて本物のHRサービスにログインし、給与振込口座を攻撃者が管理するものに変更することで、給与を盗み出すわけです。

攻撃対象に送信されるフィッシングメールの内容は、「大学のキャンパス内で最近検出された感染症にばく露した可能性がある」や「従業員の福利厚生に最近変更があった」といったものなどです。メールには「感染症にばく露したか否かを確認するためのページ」や「変更された福利厚生を確認するためのページ」のURLが貼り付けられており、これにアクセスして自身のHRサービスアカウントの認証情報を入力すると、情報が盗まれてしまうというわけ。 なお、FIDO準拠のMFAを導入することで、このような攻撃を防ぐことができるため、Ars Technicaは「FIDO準拠のMFAを導入することの重要性を浮き彫りにしています」と報じました。 Microsoftは「WorkdayなどのHRサービスからのセキュリティ関連メールをブロックする可能性のあるメールフィルタリングルールが設定されていないかを定期的に確認すること」を推奨しています。