**Storm-2755** は、カナダの従業員のアカウントへの不正アクセスにより、給与の支払いを盗む給与詐欺攻撃を実行しています。 ### AiTM攻撃の手法 攻撃者は悪意のある **Microsoft 365** サインインページを利用して、被害者の認証トークンとセッションCookieを盗みます。これは、ユーザーを `bluegraintours[.]com` のようなドメインにリダイレクトすることで実現されます。これらのドメインは、正規の **Microsoft 365** ログインフォームを装った悪意のあるWebページをホストしています。これらの悪意のあるページは、マルバタイジングやSEOポイズニングの手法を通じて、検索エンジンの結果の上位に表示されることがよくあります。 この戦術により、**Storm-2755** は敵対者中間者（AiTM）攻撃を通じて多要素認証（MFA）を回避できます。攻撃者は再認証する代わりに、盗んだセッショントークンを再利用します。 >「ユーザー名とパスワードのみを収集するのではなく、AiTMフレームワークは認証フロー全体をリアルタイムでプロキシし、認証が成功した際に発行されるセッションCookieとOAuthアクセストークンをキャプチャできるようにします」と **Microsoft** は説明しています。 >「これらのトークンは完全に認証されたセッションを表すため、攻撃者は資格情報やMFAの入力を求められることなくMicrosoftサービスにアクセスするために再利用でき、フィッシング耐性がないように設計された従来のMFA保護を効果的に回避します。」  *Storm-2755攻撃フロー（Microsoft）* ### アカウント侵害後の戦術 アカウントが侵害されると、攻撃者は受信トレイのルールを作成し、「直接預金」または「銀行」といったキーワードを含む人事担当者からのメッセージを自動的に非表示のフォルダに移動させます。これにより、被害者が不正行為に気づくのを防ぎます。 次に、「給与」、「人事」、「直接預金」、「財務」といった用語を検索し、「直接預金に関する質問」といった件名で人事担当者にメールを送信し、銀行情報を更新するように仕向けます。 ソーシャルエンジニアリングが失敗した場合、攻撃者は **Workday** のような人事ソフトウェアプラットフォームに直接ログインし、盗んだセッションを使用して直接預金情報を手動で更新します。  *Storm-2755が人事担当者にメールを送信（Microsoft）* ### 緩和策 AiTMおよび給与詐欺攻撃から防御するために、**Microsoft** は以下を推奨しています。 * レガシー認証プロトコルのブロック。 * フィッシング耐性のあるMFAの実装。 * 検出後すぐに侵害されたトークンとセッションの取り消し。 * 悪意のある受信トレイルールの削除。 * 影響を受けるすべてのアカウントのMFAメソッドと資格情報の再設定。 ### 過去の給与攻撃 10月、**Microsoft** は2025年3月から **Workday** アカウントを標的とした同様の給与キャンペーンを阻止しました。このキャンペーンは **Storm-2657** によって実行され、米国全土の大学職員を標的に、フィッシングメールとAiTM戦術を使用してMFAコードを盗み、Exchange Onlineアカウントを侵害することで給与支払いを乗っ取りました。 給与詐欺攻撃は、ビジネスメール詐欺（BEC）の一種です。FBIのインターネット犯罪苦情センター（IC3）は、昨年24,000件以上のBEC詐欺の苦情を報告し、30億ドル以上の損失をもたらしました。