Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

税金に関わる詐欺の国際化


2016年3月18日

米国では確定申告の時期が迫っています。誰もが自分の金銭や個人情報を騙し取ろうとする詐欺に注意しなければなりません。
米国国税庁(IRSpopup_iconは、今年は電子メールを使った詐欺件数が増加していることについて警告を発しています。しかし、これらの攻撃は、米国に限ったことではありません。今年の初めに、アイルランドをターゲットとした税金に関するフィッシングが発生したことが確認されています。そこで Talos では、昨年度を振り返って、税金に関わる詐欺がどのように拡散したのか確認することにしました。すぐに、税金に関わる詐欺が国際化していること、そして、今日では世界中の多くの国々に影響を与えていることが分かりました。

明らかになった問題の全体像を皆様にお伝えすべく、この投稿では次の観点から税金に関わるフィッシング攻撃について検討していきます。

  • 税金に関連するドメイン
  • 影響を受けた国
  • 攻撃手法
  • 攻撃のタイミング
  • 特徴的な詐欺手法

税金に関連するドメイン

攻撃者がユーザを騙すために使用する手法の 1 つに、説得力のあるドメインの作成があります。税金に関して、「tax(税金)」という言葉をはっきりと使用してドメインを作成すれば、そのドメインが正規のものであると思われる可能性は高くなります。そのため、私たちはドメイン ツールを使用して、今年 1 月以降に登録された「tax(税金)」で始まるドメインを探すことにしました。この調査で、リスク スコア(1 ~ 100)が 50 を超えたドメインが 122 個検出されました。これらのドメインには、次のようなものがありました。

  • taxreliefideas.com
  • tax-due.info
  • taxrelieffacts.com

もちろん、これは税金に関連すると見られるドメインを網羅する検索からは程遠いものです。しかし、私たちの簡単なチェックで検出されたドメインをもってしても、これらのドメインは世界中で登録されており、地域限定のものでないことは明らかです。

Tax-Domains_world

 

影響を受けた国

この最初のドメイン検索だけでも、世界中にドメインが散らばっていることが明らかになったのと同様に、実際のフィッシング メッセージに関する調査でも同様な世界的影響が判明しました。私たちは、次の言語で「tax refund(税金の還付)」という言葉を含んだ件名を検索することから始めました。

  • 英語(tax refund)
  • スウェーデン語(skatteaterbaring)
  • イタリア語(rimborso fiscale)
  • デンマーク語(tilbagebetaling af ska)

2015 年度のデータを調査したところ、次の国でフィッシング攻撃が行われていたことが判明しました。

  • 米国
  • 英国
  • カナダ
  • アイルランド
  • デンマーク
  • オーストラリア
  • イタリア
  • 南アフリカ
  • スウェーデン

ほとんどのフィッシング攻撃は、デンマーク、イタリア、およびスウェーデンをターゲットとする電子メールを除き、英語で行われています。

この調査で、私たちは膨大な数のフィッシング攻撃を調査しました。攻撃のほとんどには、同一の攻撃者が開始したことを示す明確な類似性は見られませんでした。しかし、2015 年 3 月からのある攻撃には興味深い点がありました。酷似したメッセージが複数の国に送信されていたのです。この攻撃は、英国、カナダ、米国を同時にターゲットとしていました。メッセージの類似性に基づけば、これらのメッセージすべての背後に同一の攻撃者が存在すると考えられます。これらのメッセージのそれぞれには、過去 7 年間の監査と、ターゲットが還付を受けられることが言及されていました。各電子メールのテキストは各国それぞれの通貨(英国は GBP、カナダは CAD、米国は US)や税務機関などに応じてカスタマイズされていること以外は、基本的に同じです。

tax-similar-US-sanitized

 

tax-similar-UK-sanitized

 

tax-similaR-CAN-sanitized

攻撃手法

私たちの調査はすべて、初期の感染ベクトルとして電子メールを使用したケースに的を絞っていました。攻撃者はユーザを騙すために添付ファイル付きのメッセージと、悪意のあるコンテンツが存在するサイトへのリンクを含むメッセージの両方を利用していました。

添付ファイル

私たちが調査した添付ファイルは 2 つのカテゴリに分類できました。最初のグループには、悪意のあるコンテンツを含む添付ファイルをユーザに送信していました。添付ファイルの内容はさまざまで、 zip ファイル内に実行可能ファイルが隠されたものもありました。Word ドキュメントに悪意のあるマクロを組み込むというアプローチも頻繁に見受けられました。それぞれの添付ファイルで共通する要素は、ユーザが添付ファイルを開くと有効になるように設計された、悪意のある何らかのコンテンツが含まれていることでした。

あるいは、正規のフォームであるかのように見えたり、メール クライアントによっては、そのメール クライアントの電子メール メッセージの一部であるかのように表示される HTML の添付ファイルを攻撃者が利用して、ユーザに機密情報を漏洩させようとしていた場合もありました。このような状況では、攻撃者は、フォームをできる限り正規のものに見せるようにしており、なりすましの対象となるサイトのイメージを利用しているものも多々ありました。ユーザが機密情報を入力した後に送信ボタンをクリックすると、その情報が侵害された何らかの Web サイトに送信されて、攻撃者によって侵害されたアカウントのコレクションに追加されます。

tax-refund-sanitized

 

悪意のあるリンク

ウィルス対策のために電子メールをスキャンするという方法は電子メールのセキュリティを高める標準的なセキュリティ手順となっていることを誰もが知っています。このスキャンを避けるために、多くの攻撃者は、注意をうながすおそれのある添付ファイルを組み込むのではなく、悪意のあるコンテンツへとユーザを誘導する、悪意のあるリンクを使用するようになっています。また、(電子メールの添付ファイルとして HTML ファイルを含めるのではなく)リンクでユーザを HTML フォームにリダイレクトし、ユーザの機密情報を得ている場合もあります。

tax-refund-link-sanitized

 

攻撃のタイミング

このような攻撃は、その国の確定申告期限直前に見られると考えるかもしれません。しかし、この調査で、これらのフィッシングは年間を通じて継続的に行われていることがわかりました。確定申告期限の 2 ヵ月前にもこのような攻撃は当然見られますが、期限の数ヵ月後にも攻撃者が活動を始めるのが見受けられました。確定申告期限の 2 ヵ月後に送信されたフィッシング メールを確認しました。税金の過払いがあるため、ユーザに還付資格があると示唆するものでした。

UK-overpaid

この電子メールには、被害者であるユーザの次の情報を要求する HTML 形式のファイルが添付されていました。

  • 電子メール アドレス
  • 性別
  • 名前
  • 生年月日
  • ID(パスポートまたは運転免許証)
  • ID 番号
  • 住所
  • 電話番号
  • クレジット カード番号
  • セキュリティ コード
  • ソート コード
  • 銀行名
  • 口座番号

ユーザがフォームに情報を入力し、送信ボタンをクリックすると、そのデータは次の URL へ送信されます。

hxxp://americasfootcenter.com/kindox.php

 

特徴的な詐欺手法

さまざまな国でその国の正規の税務機関になりすます方法が使用されていましたが、税金を利用した詐欺者は、ユーザを騙すためにその他の手法も試していました。私たちが目にした特徴的なフィッシングは、次の電子メールに示すように、IRS が税金滞納を免除するかのように思わせるものでした。

Forgive-Taxes-Sanitized

また、税法の改訂に関するセミナーを行うという電子メールもありました。これらの電子メールの一部のタイトルは、次のようなものです。

  • 連邦税および州税の課税を簡単に処理 今すぐ登録
  • IRS:2016 年度の税および給与の改訂
  • お知らせ:年税の改訂

次に、税法の改訂に関するセミナーを提供するという南アフリカからの電子メールの例を示します。

Annual-tax-update-sanitized

ユーザは、実際のセミナーへのリンクではなく、次に示すような悪意のあるリンクにリダイレクトされます。

hxxp://is.diez.penamail.com/sendlink.asp?HitID=1454485845341&StID=37628&SID=14&NID=791054&EmID=35029178&Link=aHR0cHM6Ly9pbnZpdGUucHdjLmNvLnphL2ludml0ZS9hbm51YWwtdGF4LXVwZGF0ZS5waHA/aWQ9NzM1&token=17118fb09e25a6d01e8c8a550fe50d9f6f59f398

さらに、税務用のソフトウェアになりすました攻撃も確認しました。

Tax-Prep-Sanitized

このフィッシングでは、ユーザにリンクをクリックさせ、hxxp://www.7uoeto.top/l/lt1O920BW86YE/86M578KK580U40WW477112XN3411156693 のようなリンクにリダイレクトするというものでした。また、別の攻撃では、次に示すような件名で、アカウントがロックされている、あるいは、税務用ソフトウェアに更新が必要だと訴えるものでした。

  • 重要:お使いの TurboTax アカウントはロックされています
  • TurboTax の更新
  • TurboTax からの非常に重要な情報

特徴的な手法の最後として、IRS を騙った電子メールで、ユーザが ID 盗難にあっており、至急に情報を保護する必要があると訴える電子メールを紹介します。

Identity-Theft-Sanitized

IOC(セキュリティ侵害の兆候)

intregup.com www.7uoeto.top

timbresat.com

quggyiz.nogaarikha.com

www.bollyauk.ru

www.agro-lux.com

ato.gov.au.26p214b583k7a0z01473.cgovtt.info

avantgardetekstil.com

accounts-hmrc.gov.uk.sms4.xyz

sirjupiter.com

 

Claim your tax refund(税金の還付要求)

You are eligible to receive a tax refund(税金の還付を受けることができます)

Tax Refund Notification Australian Taxation Office tax refund confirmation!(税金の還付通知 オーストラリア国税事務所 税金の還付の確認)

Tax Refund New Message Alert!(税金の還付に関する新しいメッセージ通知)

Tax Refund (Ref # 782167) – $687.00 CDN(税金の還付(参照番号 782167):$687.00 CDN)

Tax Refund (Ref # 782167) 687.00 GBP(税金の還付(参照番号 782167):687.00 GBP)

Tax Refund (Ref# 782167) $687.00 USD(税金の還付(参照番号 782167):$687.00 USD)

Tilbagebetaling af skat – DKK 7122,00

Skatteaterbaring: 6120.20 SEK

Rimborso fiscale per 2014-2015

まとめ

詐欺師たちは皆さんのお金と ID を盗もうと常に狙っています。米国での確定申告期限が近づいています。気を緩めず、リンクをクリックしたり、添付ファイルを開いたりする前に考えることが重要です。この投稿で見てきたように、これらのフィッシング攻撃は特定の国に限られたことではなく、世界中のユーザに影響を与えています。これまでにも増して、セキュリティに対して強力で階層的なアプローチを取ることの重要性が高まっています。

Cisco Advanced Malware Protection(AMP)は、このような攻撃者が使用するマルウェアの阻止に最適です。

CWSWSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されたマルウェアを検出します。

IPS のネットワーク セキュリティ保護や NGFW には、攻撃者による不正なネットワーク アクティビティを検出できる最新のシグネチャが備わっています。

ESA は、攻撃活動の一環として攻撃者が送信した悪意のある電子メールをブロックできます。

 

本稿は 2016年2月29日に Talos Grouppopup_icon のブログに投稿された「Tax Scams Gone Internationalpopup_iconの抄訳です。

 

Tags:
コメントを書く