jp:
日本語
何が起きたのか
脅威アクターは税務シーズンを格好の機会として悪用します。これはソーシャルエンジニアリングが最も活発化する時期です。金銭的な懸念や、しばしばストレスの多い義務に加え、複数の組織から税務関連のメールが届く状況が重なることで、サイバー犯罪が発生しやすい環境が生まれます。
2026年に入ってからこれまでに、税務をテーマとした攻撃キャンペーンが100件以上確認されており、マルウェア、リモート監視および管理(RMM)ペイロード、不正行為、認証情報のフィッシングへと誘導されています。税務関連の攻撃キャンペーンは毎年見られるものですが、今年はRMMペイロードの増加に加え、新たに特定された脅威アクターの活動や、より多様なソーシャルエンジニアリングの手口が確認されています。
図1. 税務をテーマとしたメールキャンペーンで配信された脅威タイプの内訳
(アナリスト注:プルーフポイントはBEC/なりすましの脅威を全体として手動で文脈化する件数が少ないため、キャンペーンデータ上では少なく見えます。)
脅威アクターはさまざまな形で税務テーマを悪用しています。例えば、内国歳入庁(IRS)のような税務当局や政府機関を装うケース、受信者の税務書類が期限切れであると主張するケース、企業の人事部になりすますケース、税務申告の支援を装うケース、税務違反を指摘するケースなどが挙げられます。
メールの件数は、キャンペーンや攻撃者の目的に応じて、数通から数万通までさまざまです。ほとんどのキャンペーンは米国を標的としていますが、プルーフポイントは最近、カナダ、オーストラリア、スイス、日本など、他国を標的とした税務テーマのキャンペーンも確認しています。
以下では、2026年にこれまで観測された注目すべき税務テーマのキャンペーンの一部をご紹介します。
キャンペーンの例
RMM
税務をテーマとした攻撃で最も一般的に配信されるペイロードはRMMです。これらのツールは企業内で一般的に使用される正規のソフトウェアですが、サイバー犯罪者によって悪用されています。RMMは多くの脅威アクターによって利用されており、正規ソフトウェアを悪用したサイバー犯罪のエコシステムは活発に拡大しています。脅威アクターがRMMを使用するのは、これらが正規であり、多くの場合正式に署名されたソフトウェアであるため、企業環境において検知されにくいからです。組織が信頼されたRMMの許可リストを実装していない場合、悪意のあるRMMはセキュリティツールによって検知されない可能性があります。
プルーフポイントは、Datto、N-Able、RemotePC、Zoho Assist、ScreenConnectなどのRMMを配信する税務テーマの攻撃キャンペーンを確認しています。場合によっては、脅威アクターは初期アクセスのために1つのRMMを使用し、その後、ホストが侵害された後に別のRMMを追加のペイロードとして展開することもあります。
一例として、2026年2月5日に、プルーフポイントは米国内国歳入庁(IRS)を装ったキャンペーンを確認しました。この誘導は、標的の最近のIRS申告に関連するものであるかのように装っていました。
図2. IRSを装い、N-able RMMを配信するフィッシング誘導
メッセージには「Transcript Viewer」と称するハイパーリンク付きのボタンが含まれていましたが、実際にはBitbucketのURLに遷移し、実行ファイルのダウンロードへと誘導されていました。このファイルを実行すると、N-able RMMがインストールされます。注目すべき点として、攻撃者はソーシャルエンジニアリングの効果とメールの信頼性を高めるため、IRSの実在の電話番号を記載していました。
IRSは複数の脅威アクターによって広く利用されている誘導テーマであり、政府機関を装うことは効果的なソーシャルエンジニアリング手法の一つです。2026年1月以降、プルーフポイントはIRSを装ったRMMキャンペーンを十数件確認しています。
TA4922
TA4922は、2025年春以降プルーフポイントが継続的に追跡している、新たに特定された金銭目的の脅威アクターです。主な目的はリモートアクセスの取得であり、詐欺、データ窃取、アクセスブローカー活動、または持続的アクセスの確保などによる収益化を意図していると考えられます。このアクターはWinos4.0エコシステムのマルウェアを配信しており、これは一部のレポートではValleyRATとも呼ばれています。さらに、さまざまなローダーや情報窃取型マルウェアも使用しており、不正行為キャンペーンも実施しています。東アジアを拠点としている可能性が高く、おそらく中国語話者であるとみられます。また、サードパーティのリサーチャーによって報告されているSilver FoxおよびVoid Arachneのエコシステムとの重複も確認されています。
このアクターは主に日本を標的としており、他の東アジア地域も一部標的としています。また、そのキャンペーンでは税務をテーマとする手法を頻繁に使用しています。TA4922の注目すべき手法の一つは、権限のある立場の人物を装ったなりすましメールを頻繁に使用する点です。攻撃者は最初のメールで、メール以外の手段での通信を確立するために受信者の電話番号を要求します。
例えば、2026年2月初旬に、プルーフポイントは日本の組織を標的としたTA4922のキャンペーンを確認しました。メールは国税当局を装い、受信者に未解決の納税義務があると主張していました。攻撃者は、メール外での通信を確立するために受信者の携帯電話番号の提供を求めていました。
図3. 日本語で作成された国税当局を装うメール
接触が確立されると、攻撃者は標的組織の財務責任者になりすますなどしてソーシャルエンジニアリングをさらに展開し、メール以外のチャネルを通じて悪意のあるリンクやファイルを送信する可能性があります。
また、3月初旬の別のキャンペーンでは、日本を標的とし、「税務署」からのメールを装っていました。メッセージには実行ファイルをダウンロードするURLが含まれており、これを実行すると、プルーフポイントのリサーチャーが現在も調査中の情報窃取型マルウェアがインストールされます。
図4. 税務署を装ったメール
プルーフポイントはまた、このアクターが他国の税務当局を装い、それらの地域のユーザーを標的としていることも確認しています。対象にはインド、台湾、インドネシア、マレーシア、そして珍しい例としてイタリアも含まれます。
TA2730
プルーフポイントは、著名な認証情報フィッシングの脅威アクターであるTA2730を、2025年6月以降追跡しています。このアクターは、主に投資関連の金融機関に対する認証情報の取得を目的としています。
TA2730のキャンペーンは標的型というよりも機会主義的な傾向を示しています。メールは、攻撃者が登録したとみられる悪意のあるドメインから送信されます。また、複数のフィッシングキットを使用しており、その中には自ら開発し、最も頻繁に利用していると考えられるものも含まれます。対象は多岐にわたり、特にカナダ、オーストラリア、シンガポール、スイス、日本が主な標的地域となっています。
図5. TA2730の全キャンペーンにおける地理的標的
このアクターが使用する代表的な誘導テーマの一つが、「W-8BEN」フォームです。これは米国の非居住納税者向けの税務フォームであり、追跡開始以降、数十件のキャンペーンで使用されています。
通常、攻撃者は投資会社を装い、受信者に対してW-8BENフォームの情報を更新または提供する必要があると伝えます。メールには、ユーザーの認証情報を窃取するために設計された偽の投資口座の認証ページへ誘導するURLが含まれています。
以下は、プルーフポイントのテレメトリで最近確認された2つのキャンペーンの例です。いずれも2月に発生し、スイスとカナダを標的としていました。場合によっては、攻撃者はなりすまし対象の正規の電話番号を記載し、誘導の信頼性を高めています。
図6. Swissquoteを装ったTA2730のメール(左)と、同社を装った悪意のあるフィッシングランディングページ(右)
このキャンペーンはスイスを標的としていました。
図7. Questradeを装ったTA2730のメール(左)と、同社を装った悪意のあるフィッシングランディングページ(右)
このキャンペーンはカナダを標的としていました。
これらのキャンペーンの目的は、投資口座を乗っ取り、金銭的利益を得ることです。
W-2詐欺
ビジネスメール詐欺(BEC)の脅威アクターも、W-2フォーム(給与および税務申告書)やW-9(納税者識別番号および証明の要求)などの税務フォームを使った誘導を頻繁に用いています。通常、これらのキャンペーンでは企業の経営層、人事部門、またはベンダー/サプライヤー担当者を装い、財務情報や個人情報を窃取し、それを後続の詐欺に利用することを目的としています。
例えば、3月に確認されたあるキャンペーンでは、送信者名が標的組織の経営層を装って偽装され、2025年分の全従業員のW-2フォームの提出を求める内容でした。
図8. BECによるW-2詐欺メールの例
これらのフォームには、氏名、住所、社会保障番号などの機密情報が含まれています。この情報は、個人情報の盗用や銀行詐欺に利用される可能性があります。
なぜ重要なのか
本ブログで紹介した事例は、全体像のごく一部にすぎません。税務シーズンはこうした誘導が多く見られる時期ですが、税務や財務情報は一年を通じて有効な誘導手段となります。
税務をテーマとした誘導は、特に申告シーズンにおいて脅威アクターによって頻繁に利用されます。これは、人々が重要なビジネスおよび個人の財務情報を整理・申告するために、さまざまなアプリケーションやサービスを利用するためです。このような誘導は、金融機関や政府機関に関連する組織からの連絡を想定している場合や、誤った申告によって罰金や手数料が発生する可能性を示唆するメールを受け取った場合に、不安を感じやすく、非常に説得力のあるものとなります。
一般的に、企業は脅威アクターが悪用する代表的な手法や誘導についてユーザー教育を行うべきであり、サイバー犯罪者が時事性の高いテーマに着目する傾向があることを認識する必要があります。税務は、その中でも毎年繰り返し利用される代表的なテーマの一つです。
|
Indicator |
Description |
First Seen |
|
Aubrey162243her@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Baerg536714qrr@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Belinda319932ywa@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Brenda26111993bbs@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Brett77124cnd@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Clint15032004ye@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Dan0600ups@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Darryl658773qfs@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Elmer445637xqd@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Genet868615mfd@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Gilana406avh@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Gilbert6704ysw@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Glenn0045bnk@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Greg2505880dbq@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Hilda2441790ajg@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Kaitlyn135452qyw@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Kayla383537cau@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Kelly5906byn@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Mattie9227fdx@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Quirita42462vpp@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Rafael0746881jxk@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Sabah30035vrj@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Tanisha535486nyg@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Violet82113vbv@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Violet900048ege@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Yvette20071993pgc@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
Yvonne8544809axa@hotmail[.]com |
TA4922 Sender Email |
06 March 2026 |
|
YObutler.jonasd8nC29@yahoo[.]com |
TA4922 Reply-to Email |
09 February 2026 |
|
hxxps:// www.upsystems.one
/Alex.exe |
TA4922 Payload URL |
06 March 2026 |
|
d338a7f85737cac1a7b4b5a1cca94e33d0aa8260548667c6733225d4c20cb848
|
TA4922 Information Stealer SHA256 |
06 March 2026 |
|
121.127.232.253
:8443 |
TA4922 Information Stealer C2 |
06 March 2026 |
|
Bella1987Jenny8927@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Cedric1985Mattie70601@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Chappel1994Sunkel79549@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Chris1987Juanita79531@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Elisa1966Tamara82159@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Ellis1986Akihito92@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Garrett2003Jaime3246@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
GhaemmaghamiBorg2909@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Iris2003Francis43001@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Jo1990Nelson506@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Kamiisa1962Eunice52@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
KatsaounisSetlak6267@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Lathrop1966Alice63@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Lucia1968Sheryl4254@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
LucinaMcnear6104@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Morris1965Cruz7189@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Nabila2004Eunice770@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
NicholWollan4783@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Peony1982Jamila936@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Quirita1980Laraine303@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
SablanLoretz4374@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Sheryl1993Sabah3812@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
SteadfastSeefried8443@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Terrell1980Dawn020@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Vanessa1991Gretel73372@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
WaffleMehta9842@outlook[.]com |
TA4922 Sender Email |
02 February 2026 |
|
Wendell1988Lovice46@hotmail[.]com |
TA4922 Sender Email |
02 February 2026 |
|
844202972ff19afa760447fc87963de0fbbc0ebc69d50164f03ecf5d4e67952f
|
N-Able RMM Payload, Fake IRS Campaign |
05 February 2026 |
|
hxxps[:]// bitbucket.org
/pmlasobjekightailsians/rgww/downloads/amzn-s3-EfinTranscriptViewer.cm10_14_4_.EXE |
Payload URL Fake IRS Campaign |
05 February 2026 |
|
bksgcefzqyb.com
|
TA2730 Phishing Landing Domain |
25 February 2026 |
|
whghfpytehu.com
|
TA2730 Phishing Landing Domain |
25 February 2026 |
|
akcjdrya.com
|
TA2730 Phishing Landing Domain |
27 January 2026 |
|
buwxkiy.com
|
TA2730 Phishing Landing Domain |
27 January 2026 |
|
eodrggi.com
|
TA2730 Phishing Landing Domain |
27 January 2026 |
|
gyglowcq.com
|
TA2730 Phishing Landing Domain |
27 January 2026 |
|
iuzndfqr.com
|
TA2730 Phishing Landing Domain |
27 January 2026 |
|
nirbsff.com
|
TA2730 Phishing Landing Domain |
27 January 2026 |
|
rmwztbrr.com
|
TA2730 Phishing Landing Domain |
27 January 2026 |
|
wijgzsfh.com
|
TA2730 Phishing Landing Domain |
27 January 2026 |
