海外における個人情報流出事件とその対応　第234回頻発する税務局関連フィッシング（2）納税者を騙したインドのケース

●申告期限延長と納税者を騙したインドのケース
同様のフィッシング詐欺については、『Softpedia』が10月19日にも、インドで確認されたことを報じている。記事はシマンテックのMathew Maniyaraのセキュリティブログに基づいたもので、The Central Board of Direct Taxes of India（インド直接税中央委員会）が会計年度2011年の締め切りを9月30日から10月15日に延長したという内容だった。

インドでは10月上旬に南部が豪雨に見舞われ、洪水や鉄砲水で200人以上の死者が出た。また8月には北部のジャム・カシミール州でも洪水と土砂崩れで、やはり約200人が死亡した。

フィッシングサイトは、“Tax Refund（税金還付）”というタイトルで、税金還付にインドの金融機関10行から選ぶことができるようになっている。納税者が金融機関を選んでクリックすると、選んだ銀行のログイン画面を装ったフィッシングサイトにリダイレクトされる。そして、ログイン情報を入力すると、正規のサイトにもう一度リダイレクトされる。

Maniyaraは、ブログでTax Refundのためのウェブページ1ページで、複数の金融機関をターゲットにできると指摘する。確かにインドの場合は10行、ニュージーランドでは4行のいずれかのネットバンキングでのログイン情報をユーザは入力することを求められていて、１行ではなく複数の銀行が対象となっている。特定の金融機関やクレジットカード会社を騙って、フィッシングメールを送付するより効率がよいといえるだろう。さらに、ツールキットを使用しているため、攻撃も簡単だ。税金関係のフィッシングメールが継続的に報告されているのは、これらの理由によるためだろう。シマンテックによると、フィッシングサイトはカナダのオンタリオ州にあるサーバがホスティングしていたという。

●税務局関連フィッシングが世界各地で頻発
自然災害に関係するフィッシング詐欺が確認されることは珍しくない。しかし、多くは、ユニセフをはじめとする大きな組織の名前を騙って、被災者をサポートするため寄付を呼びかけるものだ。

同様に、税務局を装って、納税者あてにフィッシングメールを送るケースも米国や英国、カナダ、オーストラリアなどで、多数確認されている。約1年前の2009年9月には偽の税金還付をオファーするe-mailが史上最多を記録したと、英国歳入関税庁が翌10月に発表している。

米国の内国歳入庁も繰り返し、税金還付のフィッシングについて、納税者に勧告している。M86セキュリティの上級アナリスト、Phil Hayは「昨年はPushdoボットネットからスパムメールとして大量に送信されたため、大きなニュースになった」という。また、税金還付のフィッシングは欧米だけではなく、南アフリカやマレーシア、インドでも確認されている。

世界各国の税務局で対応に努めているが、Hayは「ニュージーランド内国歳入庁は、詐欺を追跡して、個々のウェブサイトを閉鎖することができたものの、残念ながら、異なったコンピュータサーバを用いて他のサイトを作ってしまう」のが現状だという。「これらの詐欺の犯人は海外にいるためなかなか追跡できない」と、税務局も苦しい立場にあるとして、「サイバー犯罪者に遅れをとらずにいくのがいかに難しいかを示している」と説明する。

インドでの税金還付に関わるフィッシング詐欺については、2月にも確認されている。シマンテックのManiyaraが18日付けでブログに書いたもので、税金の還付が受けられるとして、受信者を騙そうとした。リンク先はインドの税務局のサイト、“Tax Refund Online Form（税金還付オンラインフォーム）”となっていて、クレジットカードの個人情報、すなわちカード番号や有効期限、card verification number、ATMピン番号だけではなく、カードの持ち主の氏名や生年月日、住所、母親の旧姓まで入力するようになっている。

キットについては、8月にシマンテックが発表した、“International Spam & Phishing Roundup”レポートによると、

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)