人事Application （アプリケーション）を標的としたソーシャルエンジニアリングキャンペーンで標的となったヘルプデスク

エグゼクティブサマリー

Okta Threat Intelligenceは、2025年8月以降、O-UNC-034として知られる、金銭目的の活動クラスターを積極的に追跡しており、ヘルプデスク担当者のソーシャルエンジニアリングを利用して、アカウントを乗っ取り、給与システムのデータを操作しています。

O-UNC-034は、教育、製造業および工業、小売および消費者サービス、製薬およびヘルスケアを含むがこれらに限定されない、さまざまな業界で事業を展開する組織の従業員を標的としていることが確認されています。これは、Okta脅威インテリジェンスおよびその他の脅威研究者が追跡している、人事および給与アプリケーションを標的とするアクティビティのいくつかのクラスターの1つです。このテーマのバリエーションには、不正広告（O-TA-54）およびAitMフィッシング（STORM-2657）の使用が含まれます。

O・UNC・034の主な目的は、HRシステムおよび給与関連サービスにおいて、標的ユーザーに関連付けられた銀行口座情報を操作することです。

このアドバイザリでは、観測された戦術、テクニック、手順（TTP）について詳しく説明し、このアクティブな脅威に関連する関連する侵害指標（IOC）を提供します。

この情報は、組織がこのキャンペーンによってもたらされるリスクを理解し、軽減できるように、情報およびインテリジェンスの目的で提供されています。

脅威分析

攻撃者は、正当な従業員になりすまして、ソーシャルエンジニアリング技術を利用しています。

初期アクセスとして、攻撃者は標的企業のITヘルプデスクに従業員を装って連絡を開始することが確認されています。彼らはこのなりすましを利用して、従業員のアカウントのパスワードリセットを要求します。

パスワードのリセットイベントが成功すると、攻撃者は自身のMFA認証者を侵害されたアカウントに登録することにより、永続性を確立します。攻撃者は、Okta Verify、ボイスコール認証、SMSへの登録、またはセキュリティ質問の操作を行い、攻撃者が多要素認証（MFA）またはその他のセキュリティコントロールをバイパスできるようにすることが確認されています。

アカウントが漏洩または侵害された後、アクターは内部アプリケーションにピボットし、特に以下をターゲットにします。

• Workday、Dayforce HCM、ADPsuiteなどの給与アプリケーション。これらのシステムへのアクセスは、侵害されたアカウントの銀行情報を操作するために使用されます。

• Customer Relationship Management（CRM）およびSalesforceやServiceNowなどのIT サービス管理（ITSM）。これらのプラットフォームへのアクセスは、独自の顧客データ、知的財産の盗難、またはITサポートプロセスの操作につながる可能性があります。

• コラボレーションおよび生産性スイート：Office 365およびGoogle Workspace。これらの環境へのアクセスは、内部コミュニケーション、ドキュメント、認証情報など、豊富な情報を提供し、さらなる攻撃を促進します。

攻撃者は、匿名化サービスや次のような家庭用IPアドレスから認証を試み、成功していることが確認されています。

• IPVANISH VPN

• CYBERGHOST VPN

• ZENMATE VPN

• EXPRESS VPN

• WINDSCRIBE VPN

• STRONG VPN

• ZENLAYER

• ナイジェリアで地理的に特定されたIPアドレス

いくつかのオペレーティングシステムもこの活動に関連付けられています。これには以下が含まれますが、これらに限定されません。

• Mac OS 14.5.0（Sonoma）

• Mac OS 15.5.0 (Sequoia)

• macOS 13.1.0（Ventura）

• Windows 11

• iOS（iPhone）

脅威対策

私たちがやっていること

私たちは、この脅威を軽減するために、以下の活動に積極的に取り組んでいます。

• 攻撃者の活動を継続的に監視する。

• 組織がOkta環境のセキュリティを強化し、侵害された可能性のあるアカウントに関連する不審なアクティビティを調査するための支援とガイダンスを提供します。

保護制御

推奨事項

• Okta FastPass、FIDO2 webauthn、スマートカードなどの強力な認証者にユーザーを登録させ、ポリシーでフィッシング耐性を実施します。

• リモートユーザーがITサポート担当者に連絡する場合、およびその逆の場合に、アイデンティティを検証するための標準化されたプロセスを文書化、啓蒙、および遵守してください。ユーザーがアカウントからロックアウトされた場合は、ID検証サービスの使用を検討してください。

• 最前線のサービスデスク担当者向けにカスタム管理者ロールを作成することをお勧めします。このカスタムロールには、要因を変更（ユーザーパスワードのリセット、一時パスワードの設定、要因のリセットまたは登録）するために必要な許可を持たせないでください。これらのサービスデスク担当者には、ヘルプデスクへの発信者が本人確認に成功した後、一時アクセスコードを発行する許可をカスタムロールで付与する必要があります。パスワードリセットトークンとは異なり、一時アクセスコードは時間制限（有効期限あり）を設けることができ、特定のユーザーGroup （グループ）に割り当て（注：管理者やその他の価値の高い標的は除外）、他の認証システムにチェーン化したり、デバイスまたは場所による使用を制限するアプリのサインオンポリシーの対象とすることができます。

• Okta認証ポリシーを使用して、顧客が構成可能なさまざまな前提条件に基づいてユーザーアカウントへのアクセスを制限することもできます。管理者は、機密性の高いアプリケーションへのアクセスを、エンドポイント管理ツールによって管理され、エンドポイントセキュリティツールによって保護されているデバイスに制限することをお勧めします。機密性の低いアプリケーションへのアクセスには、基本的なセキュリティ対策の 指標を示す 、 登録済み デバイス（Okta FastPassを使用）を要求します。

• まれにしか使用されないネットワークからのリクエストを拒否するか、より保証レベルが高いを要求します。Okta Network Zonesを使用すると、アクセスは場所、ASN（自律システム番号）、IP、およびIPタイプ（既知の匿名化プロキシを識別できる）によって制御できます。

• Okta Behavior and Risk evaluationsを使用して、以前に確立されたユーザーアクティビティのパターンから逸脱したアプリケーションへのアクセス要求を特定できます。このコンテキストを使用して、要求をステップアップまたは拒否するようにポリシーを設定できます。

• ユーザーに、疑わしいE メール、フィッシングサイト、および攻撃者が使用する一般的なソーシャルエンジニアリングの手口の兆候を特定するように指導します。エンドユーザー通知と不審なアクティビティの報告を設定して、ユーザーが潜在的な問題を簡単に報告できるようにします。

• 管理者アクセスに対して「ゼロ・スタンディング・プリビレッジ（Zero Standing Privileges）」のアプローチを取ってください。日常業務に必要な最小限の権限で管理者のカスタム管理者ロールを割り当て、より特権付きのロールへの JIT (ジャストインタイム) アクセスには二重承認を要求します。

• 盗まれた管理セッションのリプレイを防ぐために、すべての管理アプリにIPセッションバインディングを適用します。

• 管理ユーザーが機密性の高い操作を実行しようとするたびに再認証を強制するために、Protected Actionsを有効にします。

侵害指標

Oktaのお客様のセキュリティ担当者は、security.okta.comから侵害指標にサインインしてダウンロードできます。次のリンクを参照してください：

https://security.okta.com/product/okta/help-desks-targeted-in-social-engineering-campaign-targeting-hr-applications