株式会社インターネットイニシアティブ(IIJ)は1月23日、税務調査を装うメールを用いたValleyRATへの感染攻撃に関する注意喚起を「wizSafe Security Signal」で発表した。
IIJのSOCでは2025年12月に、税務調査を装った攻撃メールを複数観測しており、攻撃メールにはPDFファイルを装った悪性ファイルのダウンロードを促す内容が含まれ、受信者がファイルをダウンロードして実行することで最終的にValleyRAT(別名: Winos)に感染するという。
IIJのSOCでは2025年12月2日に、「税務書類のご確認のお願い」の件名のばらまき型攻撃メールを広範囲で観測している。同様の攻撃メールはSNSなどでも報告されており、PDFファイルの確認を促す旨の内容とGitHubのURLが含まれており、URLにアクセスするとEXEファイルを含むZIPファイルがダウンロードされる。
また、2025年12月22日にも、「税務調査事前通知書」の件名のばらまき型攻撃メールを複数の顧客で観測しており。同様の攻撃メールはSNSなどでも報告されており、PDFファイルの確認を促す旨の内容と短縮URLが含まれており、URLにアクセスすると外部のサイトへリダイレクトした後に、EXEファイルを含むZIPファイルがダウンロードされる。
いずれのメールも、リンク先でダウンロードしたZIPファイル内の資料ファイルに見せかけたEXEファイルを実行することで、最終的にValleyRATに感染する。税務関連の通知を装ったメールを起点としてValleyRATへの感染を狙う攻撃は、海外のセキュリティベンダーからも報告されている。
「wizSafe Security Signal」では、IIJのSOCで観測したメールからダウンロードされるファイルについて解析した内容を紹介している。
