概要
セキュリティ研究者は、世界中で100を超える税関連の攻撃が確認されており、これらのキャンペーンは主に合法的なRMM(Remote Monitoring and Management)ソフトウェアを悪用してサイバー犯罪者たちが活動していると報告しています。
脅威の概要
サイバー犯罪者は、IRSや税関連のメールを装ってマルウェアやRMMツール、資格情報フィッシングを配布するキャンペーンを展開しています。これらの攻撃は主に米国の納税者向けですが、カナダ、オーストラリア、スイス、日本などの他の地域も標的となっています。
具体的な脅威
- RMMツールの悪用:これらのツールは署名付きで、企業内で広く使用されており、セキュリティ制御を通る場合があります。そのため、攻撃者はこれらのツールを巧妙に利用して侵入します。
- フィッシング詐欺:サイバー犯罪者はIRSの電話番号やロゴを使用し、納税者に「最近のIRS提出書類」について通知するメールを送ります。このメールには「Transcript Viewer」というボタンがあり、クリックすると悪意のあるRMMエージェントがインストールされます。
- TA4922:日本や他の東アジア諸国を主な標的とする新しいサイバー犯罪グループで、Winos 4.0(ValleyRAT)生態系に関連するマルウェアを使用しています。このグループは「Inland Revenue」部門を装ってアクセス権限を得ようとします。
- TA2730:投資プラットフォームの顧客を標的とするサイバー犯罪グループで、W-8BEN税書類を装ったメールを送信し、偽のログインページに誘導して資格情報を盗みます。
対策と予防
組織はRMMツールの制御を強化し、リモートアクセスエージェントに対する厳格な許可リストと行動監視を実装する必要があります。また、税期前にセキュリティ教育を行うことで従業員が不審なメールやフォーム要求に注意を払うよう促します。
結論
これらのサイバー犯罪キャンペーンは、ユーザーのストレスと緊張を利用して攻撃を行います。組織はセキュリティ対策を強化し、従業員に対して適切な教育を行うことでリスクを軽減することが重要です。