アメリカの納税シーズンを利用したフィッシング詐欺 キャンペーンの考察と注意喚起

本記事では、Microsoftが過去数ヶ月間に観測した複数の税金シーズンを悪用したフィッシングキャンペーンの詳細を紹介します。日本でも確定申告シーズンで同様のフィッシングメールが配信されているため、注意喚起とあわせて、ユーザーおよび組織が税金関連の脅威に対抗するための推奨事項についても解説します。

※本記事は教育・啓発目的のみであり、いかなる違法行為も推奨または奨励するものではありません。

アメリカの納税シーズンを利用したフィッシング詐欺 キャンペーンの概要

米国の納税申告期限日である4月15日が近づく中、税金に関連したテーマを使った複数のフィッシング詐欺キャンペーンが確認されています。これらのキャンペーンは、資格情報の窃取やマルウェアの配布を目的に、ソーシャルエンジニアリングを活用しています。

特に、URL短縮サービスやQRコードを悪意ある添付ファイル内に埋め込んでリダイレクトを行う手法や、ファイル共有サービスやビジネスプロフィールページなどの正規サービスを悪用して検知を回避する手口が目立っています、

なお、これらのキャンペーンは最終的に、以下のような脅威にユーザーを誘導します。

• RaccoonO365（フィッシング・アズ・ア・サービス：PhaaS）を利用したフィッシングページ
• Remcos などのリモートアクセス型トロイの木馬（RAT）
• Latrodectus、BruteRatel C4（BRc4）、AHKBot、GuLoader などのマルウェア

脅威アクターは毎年、税申告シーズンにさまざまなソーシャルエンジニアリング手法を駆使し、個人情報や財務情報を窃取しようとします。例えば、偽のサービスへの支払いを促したり、マルウェアをインストールさせたり、機密情報を入力させたりするような方法があります。これにより、なりすまし（ID盗難）や金銭的被害につながる可能性があります。

これらの手法は古くからあるものの、高度なフィッシング対策ソリューションを導入していなかったり、ユーザーへの啓発やトレーニングが不足していたりする場合には、今なお非常に効果的です。

税金・IRS（米国国税庁）をテーマにしたフィッシングメールで BruteRatel C4 および Latrodectus を配布

2025年2月6日、Microsoftは数千件に及ぶ米国内向けのフィッシングキャンペーンを観測しました。このキャンペーンは、税金関連のテーマを用いたメールを通じて、レッドチーム用ツール「BruteRatel C4（BRc4）」およびマルウェア「Latrodectus」の配布を試みたものでした。

Microsoftはこのキャンペーンを、2021年以降に活動を確認しているアクセスブローカー「Storm-0249」のものと判断しています。同グループは、これまでにもBazaLoader、IcedID、Bumblebee、Emotetなどのマルウェア配布が確認されています。

以下は、このキャンペーンで使用されたフィッシングメールの件名の例です。サイバー攻撃者は以下のような具体的に問題があるような記載をしてメールやファイルの開封を促すようにしています。

メール件名（例）

• Notice: IRS Has Flagged Issues with Your Tax Filing
  （通知：IRSがあなたの税務申告に問題を検出しました）
• Unusual Activity Detected in Your IRS Filing
  （IRS申告における異常な活動が検出されました）
• Important Action Required: IRS Audit
  （重要な対応が必要：IRS監査）

添付PDFファイル名（例）

• • lrs_Verification_Form_1773.pdf
  • lrs_Verification_Form_2182.pdf
  • lrs_Verification_Form_222.pdf

攻撃フローの詳細

メールにはPDFファイルが添付されており、その中にはDoubleClickのURLが埋め込まれていました。このURLは、ユーザーをRebrandlyというURL短縮サービスを使ったリンクへリダイレクトし、最終的にはDocuSignに偽装したドメイン上のランディングページへ誘導します。

このランディングページでユーザーが「Download（ダウンロード）」ボタンをクリックすると、その後の挙動は攻撃者が設定したフィルタリングルール（対象のシステムやIPアドレス）に応じて、次の2パターンに分かれます。

アクセスが許可された場合

1. Firebase（サイバー犯罪者に悪用されることのある正規のホスティングプラットフォーム）からJavaScriptファイルが配布される
2. 実行されると、Microsoft Software Installer（MSI）形式のファイルをダウンロード
3. MSIファイルに含まれるBRc4（BruteRatel C4）が実行され、続いてLatrodectusがインストールされる
   ※Latrodectusは、後続の攻撃に使用される悪意ある多機能ツールです

アクセスが制限された場合

1. royalegroupnyc[.]comから無害なPDFファイルが配布される
   1. これはセキュリティシステムによる検知を回避するためのダミー（おとり）ファイルです

Latrodectusは、主に初期侵入およびマルウェアペイロードの配布に使用されるローダー型マルウェアです。

このマルウェアは以下のような特徴を備えています。

• 動的なC2（コマンド&コントロール）設定
• 解析回避機能（プロセス数が一定数以上でないと実行されない、ネットワークアダプタの有無をチェックする など）
• C2へのチェックイン時には、POSTリクエストのデータをCookieヘッダーとPOSTボディに分割して送信するという動作

2025年2月に初めて観測されたLatrodectusバージョン1.9では、以下の機能追加が確認されています。

• 永続化のためのスケジュールタスク再導入
• コマンドプロンプトを通じてWindowsコマンドを実行する能力の追加

一方、BRc4（Brute Ratel C4）は、高度な攻撃者シミュレーションおよびレッドチーム向けのフレームワークであり、本来は最新のセキュリティ対策を回避するために設計された正規ツールです。

しかし、脅威アクターによって悪用されるケースも多く、特に侵入後の活動（ポストエクスプロイト）やC2通信の実行に用いられています。

PDF内のQRコードを使ったフィッシングメールがRaccoonO365インフラに誘導

2025年2月12日から28日にかけて、税金関連をテーマにしたフィッシングメールが、主に米国内のエンジニアリング、IT、コンサルティング業界の2,300以上の組織に送信されました。

これらのメールは本文が空欄である一方、QRコードを含むPDFファイルが添付されており、件名には「書類への署名が必要」といった内容が記載されていました。

PDF内のQRコードは、shareddocumentso365cloudauthstorage[.]com のようなRaccoonO365ドメインに紐づくURLへ誘導していました。

このURLには、受信者のメールアドレスがクエリパラメータとして含まれていたため、添付されたPDFファイルは全てユニークな内容となっていました。

RaccoonO365は、Microsoft 365のサインイン画面を模倣したフィッシングキットを提供する「PhaaS（Phishing-as-a-Service）」プラットフォームであり、このURLはおそらく、対象ユーザーの認証情報を盗み取るためのフィッシングページであったと見られます。

このキャンペーンでは、メールの差出人名（受信者の受信トレイに表示される名称）も多様に偽装されており、あたかも公式な通知メールであるかのように見せかける工夫がされていました。

観測された差出人表示名の例

• EMPLOYEE TAX REFUND REPORT（従業員の税金還付レポート）
• Project Funding Request Budget Allocation（プロジェクト予算配分リクエスト）
• Insurance Payment Schedule Invoice Processing（保険支払スケジュール／請求処理）
• Client Contract Negotiation Service Agreement（顧客契約交渉／サービス契約）
• Adjustment Review Employee Compensation（調整レビュー／従業員報酬）
• Tax Strategy Update Campaign Goals（税戦略アップデート／キャンペーン目標）
• Team Bonus Distribution Performance Review（チーム賞与配分／業績評価）
• proposal request（提案依頼）
• HR｜Employee Handbooks（人事｜従業員ハンドブック）

 画像：Microsoft

IRSを装ったフィッシングメールでAHKBotを配布

2025年2月13日、MicrosoftはIRS（米国歳入庁）を装ったテーマのフィッシングキャンペーンを観測しました。このキャンペーンは米国内のユーザーを標的としています。

件名、差出人の例

• 件名：「IRS Refund Eligibility Notification（IRS還付資格のお知らせ）」
• 差出人：jessicalee@eboxsystems[.]com

ハイパーリンクの内容

このメールには、悪意あるExcelファイルをダウンロードさせるためのハイパーリンクが含まれていました。

リンク先のURL：

hxxps://business.google[.]com/website_shared/launch_bw[.]html?f=hxxps://historyofpia[.]com/Tax_Refund_Eligibility_Document[.]xlsm

このURLは、Google Businessの正規ページを装ったオープンリダイレクタを悪用し、最終的にhistoryofpia[.]comというサイトにリダイレクトされます。このドメインは、おそらく侵害されてマルウェア配布に利用されていたと見られます。

ユーザーがこのExcelファイル（.xlsm）を開くと、マクロの有効化を求められ、マクロを有効にすると悪意あるMSIファイルがダウンロード・実行されるという仕組みでした。

MSIファイルの内容

このMSIファイルには以下の2つのファイルが含まれていました。

• exe
• AutoHotKey（AHK）スクリプトファイルを実行するための正規の実行ファイル：ahk

AHKBot Looperスクリプトと呼ばれるもので、無限ループを実行し続ける簡単なコードで構成されており、追加のAutoHotKeyスクリプトを受信して実行する役割を持ちます。

このAHKBot Looperは、続けてScreenshotterモジュールのダウンロードも行っていました。このモジュールには、感染端末のスクリーンショットを取得するコードが含まれています。

C2通信の詳細

AHKBot LooperおよびScreenshotterは、以下のC2（コマンド＆コントロール）IPアドレスを使用していました。

181.49.105[.]59

このIPを通じてコマンドの受信とスクリーンショットの送信が行われていました。

税金関連のフィッシングメールでGuLoaderとRemcosを配布

2025年3月3日、Microsoftは米国の公認会計士（CPA）および経理担当者を標的とした税金関連のフィッシングキャンペーンを観測しました。このキャンペーンでは、GuLoaderおよびRemcosといったマルウェアの配布が試みられていました。

このキャンペーンは100通未満のメールで構成されており、最初のメールは悪意のない内容に見えるラポール形成（信頼構築）を目的としたメールから始まります。送信者は架空の人物を装い、「以前のCPA（会計士）が怠慢だったため、確定申告の代行を依頼したい」といった内容を送ってきます。

受信者が返信した場合、2通目のメールで悪意のあるPDFファイルが送信されるという流れです。このような手法により、攻撃者と受信者との間で信頼関係ができたように見せかけることで、悪意あるファイルのクリック率を高めることが狙われています。

攻撃の流れ

1. PDFファイルの添付
   添付されたPDFには埋め込みURLが含まれています。
2. リンククリック時の挙動
   ユーザーがPDFを開いてURLをクリックすると、DropboxからZIPファイルがダウンロードされます。
3. ZIPファイルの中身
   ZIP内には税務関連書類を装った複数の .lnk ファイル（Windowsショートカットファイル）が含まれています。
4. .lnkファイルの実行時
   ユーザーが.lnkファイルを開くと、PowerShellが実行され、PDFファイルとバッチファイル（.bat）がダウンロードされます。
5. バッチファイルの動作
   .batファイルが実行されると、GuLoaderの実行ファイルがダウンロード・実行され、さらにRemcosがインストールされます。

 画像：Microsoft

GuLoaderは、高度な検知回避能力を備えたマルウェアダウンローダーであり、以下のような手法を用いてさまざまなマルウェア（RATや情報窃取型マルウェアなど）を配信します。

• 暗号化されたシェルコードの使用
• プロセスインジェクション
• クラウドベースのホスティングサービスの悪用

さらに、GuLoaderは以下のような解析回避技術（アンチ分析技術）を複数組み合わせて使用し、セキュリティ対策の回避とペイロードの実行成功を図ります。

• サンドボックス環境の検出
• APIの難読化（オブファスケーション）

Remcosは、リモートアクセス型トロイの木馬（RAT）であり、感染したシステムに対して攻撃者が完全な操作権限を持つことを可能にします。

Remcosの主な機能

• キーロガー（キーストロークの記録）
• スクリーンキャプチャ
• プロセス操作
• 検知を回避するためのステルス技術

検知を回避する機能が含まれているため、被害組織のセキュリティソリューションによる検出が困難になることも特徴です。

緩和策

これらの脅威による影響を軽減するために、以下の対策が推奨されます。

ユーザー教育と啓発

• SNS上での個人情報・業務情報の取り扱い、不審な連絡のフィルタリング、フィッシングメールの誘導リンクの見分け方、偵察行為や不審なアクティビティの報告方法についてユーザーを教育しましょう。

EDRソリューションの設定

• 既に配信された悪意あるフィッシング・スパム・マルウェアメールを遡って隔離できるように設定を見直しましょう。
• メール本文内のURLをリアルタイムで再検査・書き換えし、クリック時にリンク先が悪意あるものでないかを判定するような機能を構成しましょう。

認証・アクセス制御の強化

• フィッシング耐性のある認証方式のパイロット導入と展開を検討しましょう。
• 全アカウントで多要素認証（MFA）を強制適用し、MFAの例外ユーザーを削除。全デバイス・全ロケーションで常時MFAが必要となるように設定します。
• IDaaSの条件付きアクセスにおける認証強度機能を使用し、重要アプリケーションに対して社内外問わずフィッシング耐性認証を要求します。

ブラウザとネットワークのセキュリティ強化

• フィッシングサイト、詐欺サイト、マルウェアホストサイトなどを識別・ブロックできるWebブラウザを利用しましょう。
• 検索結果からリンクをクリックした際、正規のドメインに到達しているかをブラウザのURLバーで確認する習慣をユーザーに教育しましょう。
• ネットワーク保護機能を有効化し、悪意あるドメインやコンテンツへのアクセスをブロックしましょう。

対策まとめ

フィッシングに引っかかってしまった際に被害を最小限に止めるための対策として、EDRなどの設定を見直すことが組織管理者には求められます。まずは今利用しているソリューションの中でできる対応がないかを確認することが大切です。その後の状況によっては、より細かな対策を構築できるサービスを探すことも必要になるかもしれません。

イベントに関するメールには要注意

フィッシングにおいてはユーザー個人での意識も非常に重要になります。攻撃者は人の興味を引く方法を次々と考え、メールの内容に反映させて送付してきます。

今回紹介した事例のように、何らかのイベントのタイミングに合わせて、それに関連させた内容のフィッシングメールが送られてくることも、近年では多くみられます。

例えば、母の日を狙った事例として、2023年5月にAmazonやCostcoを装った偽のギフトカードやアンケートを通じて、個人情報を盗み取る試みが報告されました。

アメリカの祝日であるメモリアルデー周辺では、偽の慈善団体や旅行プランを装った詐欺が増加します。サイバー犯罪者は、この時期に人々の善意や旅行計画を悪用して、不正に金銭や個人情報を取得しようとする事例もあります。

不審なメールが届いた時には、リンクや添付ファイルには触れずに、そのメールが本当に安全なものなのか慎重に判断しましょう。

 一部参照

Threat actors leverage tax season to deploy tax-themed phishing campaigns