税務調査を装うメール、URL にアクセスすると最終的に ValleyRAT に感染 | ScanNetSecurity
2026.07.10(金)

税務調査を装うメール、URL にアクセスすると最終的に ValleyRAT に感染

 株式会社インターネットイニシアティブ(IIJ)は1月23日、税務調査を装うメールを用いたValleyRATへの感染攻撃に関する注意喚起を「wizSafe Security Signal」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 株式会社インターネットイニシアティブ(IIJ)は1月23日、税務調査を装うメールを用いたValleyRATへの感染攻撃に関する注意喚起を「wizSafe Security Signal」で発表した。

 IIJのSOCでは2025年12月に、税務調査を装った攻撃メールを複数観測しており、攻撃メールにはPDFファイルを装った悪性ファイルのダウンロードを促す内容が含まれ、受信者がファイルをダウンロードして実行することで最終的にValleyRAT(別名: Winos)に感染するという。

 IIJのSOCでは2025年12月2日に、「税務書類のご確認のお願い」の件名のばらまき型攻撃メールを広範囲で観測している。同様の攻撃メールはSNSなどでも報告されており、PDFファイルの確認を促す旨の内容とGitHubのURLが含まれており、URLにアクセスするとEXEファイルを含むZIPファイルがダウンロードされる。

 また、2025年12月22日にも、「税務調査事前通知書」の件名のばらまき型攻撃メールを複数の顧客で観測しており。同様の攻撃メールはSNSなどでも報告されており、PDFファイルの確認を促す旨の内容と短縮URLが含まれており、URLにアクセスすると外部のサイトへリダイレクトした後に、EXEファイルを含むZIPファイルがダウンロードされる。

 いずれのメールも、リンク先でダウンロードしたZIPファイル内の資料ファイルに見せかけたEXEファイルを実行することで、最終的にValleyRATに感染する。税務関連の通知を装ったメールを起点としてValleyRATへの感染を狙う攻撃は、海外のセキュリティベンダーからも報告されている。

 「wizSafe Security Signal」では、IIJのSOCで観測したメールからダウンロードされるファイルについて解析した内容を紹介している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  2. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  3. シード・プランニングにランサムウェア攻撃、顧客から預かった個人情報は流出していないと判断

    シード・プランニングにランサムウェア攻撃、顧客から預かった個人情報は流出していないと判断

  4. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  5. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

ランキングをもっと見る
PageTop