米国の確定申告シーズンが近づくにつれ、サイバー犯罪者による巧妙なフィッシング詐欺が急増しています。Microsoftは最近、IRS(内国歳入庁)を装った大規模なフィッシングキャンペーンについて警告を発しました。このキャンペーンでは、29,000人以上のユーザーが標的となり、ConnectWise ScreenConnectなどの正規のリモート監視・管理(RMM)ツールを悪用したマルウェアが拡散されています。この種の攻撃は、単なる情報窃取に留まらず、企業のシステムへの永続的なアクセスを許してしまう深刻な脅威をはらんでいます。
今回の報告は、税務関連の緊急性や機密性を悪用し、偽の還付通知、給与明細フォーム、申告リマインダー、税務専門家からの依頼などを装って、悪意のある添付ファイルを開かせたり、QRコードをスキャンさせたり、不審なリンクをクリックさせたりする手口が横行していることを明らかにしています。特に、個人情報や財務データを狙うだけでなく、機密文書を扱う会計士や税務専門家もターゲットとなっており、その影響は広範囲に及んでいます。
確定申告シーズンを狙う巧妙なフィッシング攻撃の手口
サイバー犯罪者は、確定申告という国民的なイベントの時期を狙い、多岐にわたるフィッシング攻撃を展開しています。その手口は年々巧妙化しており、ユーザーが疑念を抱きにくいように工夫されています。
偽の税務関連通知とPhaaSプラットフォームの悪用
攻撃者は、偽の還付通知や税務フォーム、申告リマインダーといった、一見すると正規のIRSからの連絡に見えるメールを送りつけます。これらのメールは、受信者を悪意のあるウェブページへと誘導し、メールアドレスやパスワード、さらには二段階認証(2FA)コードといった機密情報を窃取することを目的としています。
特に注目すべきは、「Phishing-as-a-service(PhaaS)」プラットフォームの悪用です。例えば、「Energy365 PhaaSキット」は、毎日数十万通もの悪意のあるメールを送信していると推定されており、被害を拡大させています。また、「SneakyLog(別名Kratos)PhaaSプラットフォーム」は、Microsoft 365のサインインページを模倣したフィッシングページを生成し、約100の組織を標的に、製造業、小売業、医療業界を中心に資格情報や2FAコードを詐取しています。
QRコードやW2フォーム、仮想通貨関連の偽装
フィッシングの手口はメール本文のリンクだけに留まりません。QRコードを悪用したフィッシングも増加しており、ユーザーがスマートフォンで安易にスキャンしてしまうことで、悪意のあるサイトへ誘導されます。また、従業員の給与情報が記載されたW2フォームを装った攻撃も確認されており、企業の機密情報が狙われています。
さらに、高等教育機関を標的とした攻撃では、IRSを装い「仮想通貨税務フォーム1099」のダウンロードを促す手口が用いられました。これは、仮想通貨の税務申告が複雑であるという認識を悪用し、ユーザーを「irs-doc[.]com」や「gov-irs216[.]net」といった偽のドメインに誘導し、RMMマルウェアを送り込むものです。
RMMマルウェアの脅威と拡散経路
今回のIRSフィッシング詐欺キャンペーンで特に危険視されているのが、正規のリモート監視・管理(RMM)ツールを悪用したマルウェアの展開です。ConnectWise ScreenConnect、Datto、SimpleHelpといったRMMツールは、本来、IT部門が遠隔地のデバイスを管理・サポートするために使用される正当なソフトウェアです。しかし、サイバー犯罪者はこれらのツールの信頼性を逆手に取り、一度システムに侵入すると、永続的なアクセス権を獲得し、データ窃盗やさらなる攻撃の足がかりとして悪用します。
大規模キャンペーンとSmartVaultの偽装
Microsoftは、2026年2月10日に発生した大規模なフィッシングキャンペーンを観測しました。この攻撃では、10,000以上の組織にわたる29,000人以上のユーザーが影響を受け、その約95%が米国に集中していました。金融サービス(19%)、テクノロジー・ソフトウェア(18%)、小売・消費財(15%)といった業界が主な標的となりました。
攻撃メールはIRSを装い、受信者の電子申告識別番号(EFIN)で不審な税務申告が行われたと主張し、偽の「IRSトランスクリプトビューア」をダウンロードするよう指示しました。Amazon Simple Email Service(SES)を通じて送信されたこれらのメールには、「Download IRS Transcript View 5.1」というボタンが含まれており、クリックすると、有名な文書管理・共有プラットフォームであるSmartVaultを装ったドメイン「smartvault[.]im」にリダイレクトされました。
このフィッシングサイトは、Cloudflareを利用してボットや自動スキャナーの検出を回避し、人間がアクセスした場合にのみ、悪意のあるScreenConnectのペイロードを配信しました。これにより、攻撃者はリモートアクセス権を獲得し、データ窃盗、資格情報収集、さらなる悪用活動を容易に行うことができました。
RMMツールの悪用増加とその背景
Huntressの最近の報告によると、脅威アクターによるRMMツールの悪用は前年比で277%も急増しています。これは、RMMツールが正規のIT部門によって日常的に使用されており、ほとんどの企業環境で「信頼できる」ツールとして見過ごされがちであるという事実を悪用したものです。Elastic Security Labsの研究者も、組織は警戒を怠らず、環境内での不正なRMM使用を監査する必要があると警告しています。
多岐にわたるサイバー攻撃の現状とサイバーセキュリティ対策
IRSフィッシング詐欺だけでなく、サイバー犯罪者は様々な手口でユーザーや組織を狙っています。これらの攻撃は、正規のサービスやブランドを巧妙に悪用し、セキュリティ対策をすり抜けようとします。
他の主要な攻撃事例
- 偽のビデオ会議ページ: Google MeetやZoomの偽ページを使い、ユーザーを詐欺的なビデオ通話に誘い込み、Teramindのようなリモートアクセスソフトウェアを偽のソフトウェアアップデートとして配信します。
- ブランド詐欺サイト: Avastのブランドを悪用した詐欺サイトで、フランス語圏のユーザーからクレジットカード情報を詐取する返金詐欺が確認されています。
- タイプミスドメインの悪用: 公式のTelegramダウンロードポータルを装ったタイプミスドメイン(例: 「telegrgam[.]com」)を通じて、トロイの木馬化されたインストーラーを配布し、マルウェアをシステムに常駐させます。
- 正規サービス通知の悪用: Microsoft Azure Monitorの警告通知を悪用し、正規の送信元アドレス「azure-noreply@microsoft.com」からフィッシングメールを送信する「コールバックフィッシング」も報告されています。
- URL書き換えサービスの悪用: Avanan、Barracuda、Bitdefenderなどの正規のURL書き換えサービスを悪用し、悪意のあるURLを隠蔽してメールスパムフィルターを回避する手口も増加しています。複数のサービスを連鎖的に利用することで、検出をさらに困難にしています。
- 悪意あるZIPファイル: AI画像生成ツール、ボイスチェンジャー、株取引ユーティリティ、ゲームMOD、VPN、エミュレーターなど、様々なソフトウェアを装った悪意のあるZIPファイルを通じて、Salat StealerやMeshAgent、さらには仮想通貨マイナーを配布するキャンペーンも確認されています。
読者が取るべき具体的なサイバーセキュリティ対策
このような多岐にわたる脅威から身を守るためには、組織と個人の両方で多層的なセキュリティ対策を講じることが不可欠です。
- 二段階認証(2FA)の強制: すべてのユーザーアカウントで2FAを有効にし、不正アクセスに対する防御を強化します。
- 条件付きアクセスポリシーの実装: アクセス元、デバイスの状態、ユーザーの役割などに基づいてアクセスを制限し、リスクの高いアクセスをブロックします。
- 受信メールとウェブサイトの監視・スキャン: 高度なメールセキュリティソリューションを導入し、フィッシングメールや悪意のあるリンクを検出・ブロックします。また、ウェブサイトへのアクセスも常に監視し、不審なサイトへの接続を遮断します。
- 悪意のあるドメインへのアクセス防止: DNSフィルターやプロキシサーバーを活用し、既知の悪意のあるドメインへのアクセスをユーザーができないように設定します。
- RMMツールの使用状況監査: 組織内で使用されているRMMツールの正規性を定期的に監査し、不正なインストールや使用がないかを確認します。
- 従業員へのセキュリティ教育: フィッシング詐欺の手口や最新の脅威動向について、定期的に従業員に教育を行い、セキュリティ意識を高めます。
- ソフトウェアの定期的な更新: OSやアプリケーション、セキュリティソフトウェアを常に最新の状態に保ち、既知の脆弱性を悪用されるリスクを低減します。
こんな人におすすめ
この情報は、企業のIT管理者や情報システム担当者、会計事務所のIT管理者、個人事業主、そして確定申告を行う一般ユーザーにとって特に重要です。税務関連の詐欺は誰にでも起こりうるため、最新の脅威動向を理解し、適切な対策を講じることが求められます。
まとめ
Microsoftが警告したIRSフィッシング詐欺は、確定申告シーズンを狙ったサイバー攻撃の深刻な実態を浮き彫りにしています。正規のRMMツールを悪用し、29,000人ものユーザーが被害に遭ったという事実は、現代のサイバー脅威がいかに巧妙で広範囲に及ぶかを示しています。PhaaSプラットフォームの利用、QRコードや偽の税務フォーム、さらには正規のクラウドサービスを悪用するなど、攻撃者の手口は多様化しており、従来のセキュリティ対策だけでは不十分なケースが増えています。
組織は、二段階認証の徹底、条件付きアクセスの導入、メール・ウェブサイトの厳重な監視、そしてRMMツールの使用状況監査といった多層的なセキュリティ対策を講じる必要があります。また、従業員への継続的なセキュリティ教育も欠かせません。個人ユーザーも、不審なメールやリンクには細心の注意を払い、常に最新のセキュリティ情報を確認することが重要です。確定申告という重要な時期だからこそ、サイバーセキュリティへの意識を一層高め、自らの情報と資産を守るための行動が求められます。