Trace Id is missing

納税シーズンとサイバーセキュリティ: 多くのサイバー犯罪者が求めるもの、標的にする対象に、あなたは該当しますか?

共有
画面に税務書類が表示されたノート PC と、「tax」と書かれたフォルダーに飛び込んでいく紙の書類を示すグラフィック イラスト

今日の脅威の状況において、フィッシング攻撃は死と税金のように避けられないものです。金銭的な動機に基づく脅威アクターにとって、納税シーズンに発生する締め切りのプレッシャーや、必死のフォームや書類のやり取りは、何百万人ものストレスや注意力が不足した個人および企業の高リスク データを標的としたフィッシング攻撃活動を展開する魅力的な機会となります。

誰もが納税シーズンのフィッシングの標的になる可能性がありますが、ある特定のグループは他のグループよりも脆弱です。グリーン カード保有者、中小企業経営者、25 歳未満の新規納税者、60 歳以上の高齢納税者など、IRS が関与してくる方法についてあまり知らされていない人々が主な標的となります。

この特別な納税シーズンの脅威インテリジェンス レポートでは、脅威アクターが最も使用する戦術、技術、手順 (TTPs) を以下のセクションで調査しています。

  • Microsoft 脅威インテリジェンスが、2024 年の納税シーズンのフィッシング攻撃活動を発見。ここでは、雇用主から提供された税金関連文書を装ったルアーを使用した、納税シーズンの新しいフィッシング手法の詳細について説明します。
  • フィッシング メールで納税処理業者になりすます脅威アクター。ここでは、Microsoft 脅威インテリジェンスによって、脅威アクターがサードパーティの連邦納税処理業者のロゴを使用していることが確認されたことを説明します。
  • 納税時期にサイバー犯罪者が狙うもの。ここでは、納税時期によく狙われるリスクの高いデータの種類を特定します。
  • サイバー犯罪者がデータを入手する方法。ここでは、納税シーズンに脅威アクターが最も使用するソーシャル エンジニアリングのテクニックを説明します。
  • 納税シーズンのサイバーセキュリティのベスト プラクティス。ここでは、ソーシャル エンジニアリング攻撃に対する警戒を怠らないためのベスト プラクティスと実用的なアドバイスを提供します。

Microsoft 脅威インテリジェンスは、2024 年 1 月末に行われた、雇用主から提供された税務関連文書を装ったキャンペーンを含む、納税シーズンのフィッシング活動を既に確認しています。

以下の図は、(1) フィッシング メールのルアー、(2) 悪意のある Web サイト、(3) このキャンペーンで使用された 2 つの悪意のある実行ファイル (マルウェア) を示しています。

2024 年 1 月、Microsoft 脅威インテリジェンスが確認した納税シーズンのフィッシング メール。
図 1: フィッシング メールに、ユーザーを偽のランディング ページに誘導する HTML の添付ファイルが含まれています。
悪意のある Web サイトのスクリーンショット
図 2: ユーザーを Web ページに誘導。これは、脅威アクターがその Web ページを意図的に不鮮明にすることで、クリックの可能性を高めることを狙ったソーシャル エンジニアリングの手法です。標的が「ドキュメントのダウンロード」をクリックすると、マルウェアがコンピューターにインストールされます。
Windows のファイル エクスプローラーのスクリーンショット。"programs" フォルダに 2 つのファイルがあります。"deepvau", アプリケーション
図 3: 情報窃盗機能を持つ悪意のある実行ファイルが標的のマシンにドロップされています。環境に入ると、ログイン資格情報を含む情報を収集しようとします。

脅威アクターは公的機関になりすます

その他の攻撃活動において Microsoft は、脅威アクターがフィッシング メールで合法的なサードパーティの連邦納税処理機関の Web サイトから取得した画像を使用し、説得力があるように見せていることを確認しています。

このようなメールは合法的に見えますが、納税者は、IRS のような公的機関がメール、テキスト、電話で確定申告や納税に関する連絡をすることはないことに注意する必要があります。

まれに、サイバー犯罪者が盗んだ情報を使って還付金詐欺を行うことがあります。この特殊な手口では、犯罪者はターゲットの名前で確定申告を行い、還付金を請求します。1しかし、IRS のセーフガードを考えると、この手口が成功する確率は低いです。より可能性が高いのは、納税の時期にあなたの情報にアクセスしたサイバー犯罪者が、1 年中いつでもやるようなこと、つまり、その情報を収益化する方法を探し出すことです。その中には、あなた名義のクレジット カードを作ったり、データやアクセス権を他のサイバー犯罪者に売ったり、あなたの銀行口座に直接アクセスして送金を開始したり、オンラインで買い物をしたりすることも含まれます。

以下では、(1) フィッシング メールの手口と、(2) 本物の第三者処理機関のサイトを紹介します。

正規の第三者支払処理機関の Web サイトから取得した、「Authorized IRS」ヘッダー画像を使用したフィッシング メール。
図 4: フィッシング メールで、国税庁の Web サイトに掲載されている支払処理業者である ACI Payments, Inc. のヘッダー画像「Authorized IRS」が使用されています。
ACI Payments, Inc. の実際の Web サイトから抜粋した「Authorized IRS」ヘッダー画像を使用した Web ページのスクリーンショット。
図 5: ACI Payments, Inc. の実際の Web サイト。本物の「Authorized IRS」画像がどのように強調されているかの例。

納税時期にサイバー犯罪者が狙うもの

納税シーズンには、膨大な量の財務データや個人情報が、個人と IRS のような組織、および税務申告ソフトウェアや税務申告書作成会社、地元の会計事務所や税理士事務所から個人事業主まで、さまざまな種類の税務サービス プロバイダーの間で行き交います。

最もリスクの高いデータ2には以下のようなものがあります。

  • ID: 社会保障番号、運転免許証または州身分証明書、パスポートの詳細、雇用者番号 (EIN)、集中認証ファイル (CAF) 番号
  • 金融アカウント: 金融口座番号、クレジットおよびデビット カード番号 (必要なセキュリティ コードの有無にかかわらず)
  • パスワードとアクセス: メール パスワード、個人識別番号 (PIN)、アクセス コード

Microsoft 脅威インテリジェンスのサイバー犯罪専門家である Wes Drone は、平均的な個人メールの受信トレイにある個人情報の山から生じる一般的なリスクについて、次のように説明しています。「人々はメールの受信トレイにデジタル情報をため込むことがあり、彼らが保管している情報は、犯罪者にとって非常に価値があります。」

このリスクは納税の時期に限ったことではありません。Drone は、平均的な個人のメール アカウントには、私生活のほぼすべての側面からの通信やドキュメントがあり、納税シーズンは、それらを盗もうとする多くの機会の一つに過ぎないと指摘します。

「もし脅威アクターがあなたのメール アドレスにアクセスできれば、他のすべてのアカウントのパスワードをリセットすることができるでしょう。」と Drone は説明します。

個人へのリスクは、企業へのリスクにもなりえます。Drone によれば、脅威アクターが従業員のメールボックスにアクセスできた場合、雇用主の環境内にマルウェアをインストールする可能性があるといいます。

「今、私たちはあらゆる可能性のある問題について話しています。」とドローンは言います。「大きな問題は、ビジネス メール詐欺です。彼らはこれによって、サプライヤーやビジネスの取引先と関わりを持ち始めます。彼らは請求書の数字を変えたり、偽の請求書を送ったり、お金を振り替えたりします。そしてこれには、非常に費用の掛かる努力を強いられる可能性があります。」

サイバー犯罪者があなたのデータを入手する方法

サイバー犯罪者が使用するフィッシングのテクニックは新しいものではありませんが、依然として非常に効果的です。そのバリエーションにかかわらず、納税シーズンに個人を狙ったフィッシング攻撃は、主に次の 2 つの結果のいずれかにつながります。インフォスティーラー (トロイの木馬型マルウェアの一種) をダウンロードさせる、あるいは、なりすましのランディング ページに資格情報を入力させるかです。あまり一般的ではありませんが、フィッシング詐欺師がランサムウェアをダウンロードするためのアクセスを探している場合もあります。

納税シーズンに行われるフィッシング攻撃活動では、雇用主や人事担当者、内国歳入庁 (IRS)、州レベルの税務関連組織、会計士や税務申告書作成サービスのような税務関連サービスのプロバイダー (信頼できる大規模なブランドやロゴを使用することが多い) など、合法的な情報源であるとユーザーを騙そうとします。

サイバー犯罪者が標的を騙すために使う一般的な手口には、本物のサービスや Web サイトのランディング ページになりすましたり、視覚的には正しく見える不正な URL (ホモグリフ ドメイン) を使ったり、ユーザーごとにフィッシング リンクをカスタマイズしたりすることなどが挙げられます。

Drone は次のように説明しています。「このような納税シーズンのフィッシング攻撃活動が機能し続けている理由、そして何年も機能し続けている理由は、誰も IRS から何かが届くことを望んでいないからです。」 Drone は、税金関連のメッセージが受信トレイに届くとすぐに不安感を引き起こす可能性があると指摘します。

「確かに、人々は還付金を受け取り損ねたり、還付金を盗まれたりしたくないものです。」彼は続けます。「犯罪者は、ソーシャル エンジニアリングでこのような恐怖や感情を利用して不安を煽り、緊急にクリックし、やるべきことをやろうという意欲を起こさせるのです。」

脅威アクターが使うルアーの手口は組織によってさまざまですが、フィッシング メールには共通の特徴があります。

  • 項目 A - ブランド化: 防御力を低下させるための機能。犯罪者は、国税庁、あるいは税理士事務所やサービスのような、この時期によく目にするブランディングを使用します。
  • 項目 B - 感情をあおるコンテンツ: 最も効果的なフィッシング ルアーは、感情をあおるメッセージです。納税シーズンになると、犯罪者は希望 (予期せぬ多額の還付があります!) や恐怖 (還付が保留されています、または巨額のペナルティがあります) を餌食にします。
  • 項目 C - 緊急性: サイバー犯罪者にとって、緊急性とは、そうでなければ行動しないような方法で人々を行動させるものです。緊急性があれば、あなたが期限までに行動しない限り、あなたが起こしたいこと、あるいは起こしたくないことと反対のことが起こってしまいます。
  • 項目 D - クリック: リンク、ボタン、QR コードの何であっても、犯罪者は最終的に、受信トレイから悪意のある Web サイトにクリックさせようとします。
ノート PC にフィッシング メールの例が表示され、記事の中で説明される画像の側面を示すアイコンが表示されています。
図 6: 文字の書かれたコールアウト。フィッシング メールの誘い文句のの特徴がいくつか強調されています。

納税シーズンだけでなく、年間を通してサイバー犯罪者に対する最善の防御策は、教育とサイバー衛生管理です。教育とは、フィッシングへの認識、つまりフィッシングの手口がどのようなものか、またフィッシングに遭遇した場合にどう対処すべきかを知ることです。適切なサイバー衛生とは、金融機関やメール アカウントの多要素認証のような基本的なセキュリティ対策を実施することです。

米国では 4 月 15 日の納税日が近づいています。ここでは、ユーザーと防御者が税金関連の脅威に対して警戒を怠らないための追加的な推奨事項をいくつか紹介します。

フィッシングから自身を守る 7 つの方法

フィッシング攻撃にかかると、機密情報の流出、ネットワークの感染、金銭の要求、データの破損など、最悪の事態を招く可能性があります。ここでは、そのような事態を防ぐ方法を説明します3
  • 送信者のメールアドレスを確認します。すべてが正しいですか? 文字がずれていたり、スペルが変わっていたりすると、偽物の可能性があります。
  • 一般的な挨拶文 (たとえば「お客様各位」など) で、緊急の対応を求めるようなメールは要注意です。
  • 差出人の連絡先を確認します。疑わしい場合は返信しないようにします。その代わりに、新しいメールを立ち上げて返信しましょう。
  • 機密情報は絶対にメールで送らないようにします。どうしても個人情報を伝えたい場合は、電話を使いましょう。
  • 予期せぬリンク、特に自分のアカウントにサインインするよう誘導するリンクは、よく考えてクリックしましょう。安全のため、公式 Web サイトからログインしましょう。
  • 知らない送信者や、普段は添付ファイルを送ってこない友人からのメールの添付ファイルは開かないようにしましょう。
  • メール アプリにフィッシング フィルターをインストールし、メール アカウントのスパム フィルターを有効にします。

多要素認証 (MFA) を有効にする

アカウントへの攻撃が成功する可能性を減らしたい場合は、MFA を有効にしましょう。多要素認証はその名の通り、2 つ以上の認証要素を必要とします。

MFA を有効にすれば、たとえ攻撃者があなたのユーザー名とパスワードを入手したとしても、あなたのアカウントや個人情報にアクセスすることはできなくなります。パスワードを知っているだけでは (あるいはクラックされただけでは) システムへのアクセスを得ることはできないため、複数の認証要素を侵害することは、攻撃者にとって非常に大きな挑戦となります。MFA を有効にすることで、アカウントへの攻撃を 99.9% 防ぐことができます。4

関連記事

攻撃の 99% を防ぐ基本的なサイバー衛生の効果

基本的なサイバー衛生の実践は、組織内の個人を特定する情報、デバイス、データ、アプリ、インフラストラクチャ、ネットワークなどを、全サイバー脅威の 98% から防ぐことができるもっとも効果的な方法です。実際に役立つヒントが得られる包括的なガイドをご覧ください。
詳細情報

ビジネス メール詐欺を分析する

ビジネス メール詐欺は非常によくあるサイバー攻撃形態であり、しかも大きな対応コストがかかります。デジタル犯罪のエキスパートである Matt Lundy が、その最新事例を取り上げて分析します。
詳細情報

信頼の経済からの罠: ソーシャル エンジニアリング詐欺

デジタル情勢の変化に伴い、信頼が通貨にも脆弱性にもなっている状況について解説します。サイバー攻撃者がよく使うソーシャル エンジニアリング詐欺の手口を知り、人間の性質を巧みに利用したソーシャル エンジニアリングの脅威を特定して攻略する方法をご確認ください。
詳細情報

Microsoft Security をフォロー