納税申告の時期は常に勤勉な米国人の神経を悩ませてきました。しかしながら、年月を重ねるにつれて、納税申告のプロセスを簡略化するデジタル化技術の進歩が到来しました。一方、残念なことに、この技術は新しいサイバー脅威やさらに多くのストレスをもたらす可能性もあります。
サイバー犯罪者が常に探し求めているのは、アカウント内の個人情報データと金銭の2つです。そして納税申告の時期、気づかない間にその両方が露出すると見られています。サイバー犯罪者は何年にもわたって、納税者から個人情報と金銭を窃取するために複数のツールと手法を採用してきました。
日本でもこれから年末調整や確定申告など、納税関連の手続きのシーズンを迎えます。米国の納税申告時期に見られる主な脅威の一部と、安全を保つために何に注意すべきなのかを見ていきましょう。
■サイバー犯罪者の目的
サイバー犯罪は、非常に効率的な金儲けビジネスです。一部の調査では、このアンダーグラウンド経済が毎年1.5兆米ドル(約156兆円)も生み出していることを示唆しています(参照データ:「Into the Web of Profit」McGuire・Bromium 2018年4月)。そして、「Tax Scams」と呼ばれる税金関連の詐欺は、利益を増やしたいサイバー犯罪者からの注目がますます集まりつつある手口です。米国の内国歳入庁(IRS、日本の国税庁にあたる)は、こういった攻撃が原因で「数千人が数百万ドルとその個人情報を失った」と主張しています。
サイバー犯罪者は、納税者をだまして資金を送金させること、銀行口座や社会保障番号(SSN)などの個人情報(PII)を入手することの両方またはいずれかを目的としています。この個人データはその後、対象の納税者またはIRSをだますために使用される可能性があります。あるいは、納税者から不正に資金をだまし取るために後続のなりすまし詐欺計画で展開されることも考えられます。
サイバー犯罪者は、多様な手法を用いて上述の目標を達成しようとします。最も一般的なのは、ソーシャルエンジニアリング手法により納税者をだましてお金や個人情報を送信させる手口です。ただし、マルウェアを使用して、個人に拡散するか、税務申告者を対象とするいずれかの場合もあります。つまり、納税者は自身のサイバーセキュリティに気を付けるだけでなく、協力関係にあるサードパーティの企業は納税者の機密情報を安全に保管した上で送信する必要があるということです。
■注意が必要な詐欺手法
本記事では、今日税金詐欺を行うサイバー犯罪者が使用する中で最も頻繁に使用されている詐欺手法を紹介します。
なりすまし:サイバー犯罪者は、IRSの代表者になりすまして連絡を取ります。このなりすまし行為は、電子メール、電話、ソーシャルメディア、さらにはSMSを介して行われる可能性があります。サイバー犯罪者は通常、被害者には未払いの税金または罰金があると主張し、電信送金またはプリペイドのデビットカードを介した支払いを要求します。加えて、個人情報や財務情報を求められることもあります。たとえば、対象の納税者は多額の税金の還付を受ける資格があり、銀行口座情報の提供のみでよいと主張するなどです。
このようなやり取りは、通常強引に行われます。サイバー犯罪者は、切迫感を生み出し、時には個人が税金の支払いを行っていないと信じ込ませることが、納税者に支払わせる最善の手口だと理解しています。フィッシングメールは、ロゴや送信者ドメインに至るまで非常に説得力があるように見えるかもしれませんが、電話の発信者は偽の名前や身分証明を使用します。サイバー犯罪者は、以前に窃取した、またはダークウェブで購入したと思われる個人データを使用して、納税者とのコミュニケーションをより説得力があるかのように見せかけます。
一部のなりすまし詐欺では、サイバー犯罪者は慈善団体で働いているふりをして、被災者の税金還付請求を支援する名目で個人情報を要求することもあります。
偽装、フィッシング、マルウェア: IRSまたは税務申告者から送信されたように見せかけたテキスト、電子メール、またはS N Sからのメッセージ内に実際にマルウェアが含まれている場合があります。サイバー犯罪者は上述と同様の戦術を使用しますが、受信者をだまして不正リンクをクリックしたり、マルウェアを含む添付ファイルを開いたりするように仕向けます。受信者が気づかないうちに行われたダウンロードは、以下の結果につながる可能性があります。
- 個人情報の窃取
- 受信者のコンピュータがリモートコントロールソフトウェアを介してハッカーに完全に乗っ取られる
- 金銭を支払うまでコンピュータをロックするランサムウェアのダウンロード
虚偽の確定申告:サイバー犯罪者は、様々な方法で窃取・詐取したSSNやその他の個人情報を利用して納税者本人に代わって確定申告を行います。これにより、IRSからの税金還付をサイバー犯罪者が受け取ることが可能になります。サイバー犯罪者が対象の納税者の名前での提出に使用するPIIは、本人が気づかないうちにサードパーティの情報元から取得された可能性があります。このことに初めて気づくのは、本人が正当な納税申告書を提出するときでしょう。この問題の解決には、数か月以上かかる場合があります。
税務申告者を狙う攻撃:米国人の半数以上が、申告をサポートするために第三者の税務申告会社を利用します。ただしこのことは、サイバー犯罪者に申告者の機密情報を入手する別の機会を与えることになります。最近発見されたキャンペーンのひとつでは、税務申告会社のWebサイトが侵害され、訪問者がページを読み込むと、即座にそのコンピュータにマルウェアがダウンロードされるようになっていました。マルウェアが窃取した税務情報を元に、サイバー犯罪者は被害者の名前で偽の申告書を提出できるようになります。IRSはこのような攻撃は、企業の規模にかかわらず潜在的な脅威であると注意喚起しています。
■被害に遭わないためには
幸いなことに、いくつかの簡単な手順を実行することで、本記事で紹介したような詐欺行為によって起こり得る最悪の事態から身を守ることが可能です。留意すべき点として、IRSは、メール、テキストメッセージ、またはソーシャルメディアで納税者に連絡して個人情報や財務情報を要求することはありません。したがって、該当する連絡を受け取った場合、それは間違いなく詐欺と考えられます。このような詐欺は、納税申告期限の前だけでなく一年中発生することを覚えておきましょう。残念なことではありますが、私たち納税者は常に警戒する必要があります。
詐欺被害に遭わないために、以下のベストプラクティスを講じることを推奨します。
- 最新の総合的なセキュリティ対策ソフトをインストールして、フィッシングメールやWebサイトをブロックし、マルウェアのダウンロードを防ぐ
- 税務申告者またはIRS(日本の場合は国税庁や税務署)から送信されたと称する一方的なメッセージに注意する。メッセージの返信先はサイバー犯罪者である可能性があるので、メッセージが本物であるかどうかを確認するためには、常にメッセージとは別の手段で送信者と直接連絡を取るようにする
- メールの送信元やリンク先が正当なものかどうかを確認し、安易にリンクをクリックしたり、添付ファイルをダウンロードしたりしない
- 例えば国税庁や税務署などの実在組織をかたって詐欺行為を働くサイバー犯罪者からの一方的な電子メールについては、該当組織や警察、フィッシング対策協議会、利用しているセキュリティ対策製品のセキュリティベンダーなどに通報する
- Webサービスのログイン情報を保護する。可能な場合は多要素認証(MFA)を有効にし、パスワード管理ツールなどを使用してログイン情報の推測や解読を難しくする
これらのベストプラクティスは、税務申告者がデータを安全に保つために独自の対策を講じるように要求する場合にもメリットをもたらします。機密データや文書を暗号化しない状態のままメールで送信しないようにしてください。税務申告プロセスを乗っ取られる可能性があるため、様々な情報を狙うフィッシングメールに注意する必要があります。クラウドでホストされているかオンプレミスで実行されているかにかかわらず、データを保持するサーバにも適切な保護を施す必要があります。米国の納税者はまた、データ保護のためにIRSが実践していることを事前に尋ねる権利と義務があります。これは自身の重要情報を扱う以上、日本でも同様と言えるでしょう。
米国のIRSでは税務申告者に以下の内部制御を行うことを勧告しています。
- すべてのWebサーバおよびストレージサーバにマルウェア対策ソフトをインストールし、ソフトウェアを自動的に更新する
- アカウント毎にパスワードマネージャーを介して強力なパスワードを使用するよう促し、顧客のアカウントに多要素認証技術を展開する
- 強力なパスワード保護で交換されるすべての機密ファイルと電子メールを暗号化する
- 機密データを安全なオフサイト・ソースに定期的にバックアップする
- 機密データを含む古いハードドライブとプリンタをすべて消去または破棄する
- 納税者データへのアクセス権を、知る必要のあるスタッフのみに制限する
■トレンドマイクロの対策
トレンドマイクロは、納税者が個人情報や財務情報をサイバー犯罪者から保護するのに役立つさまざまなセキュリティツールを提供しています。
特に個人利用者向けソリューションの「ウイルスバスタークラウド」では、以下のような保護を提供します。
- 不正サイトに移動する可能性のあるメール内の不正URLリンクからの保護
- 不正Webサイトのダウンロードをブロックし、添付ファイル内に隠匿されたマルウェアをスキャンする
- 「フォルダシールド」機能により、ランサムウェアによるデータ暗号化や窃取から重要データを保護
また「パスワードマネージャー」を使用することで、利用するパスワードの保護と管理を行えます。
参考記事:
By Trend Micro
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)