税務調査を装うメール、URL にアクセスすると最終的に ValleyRAT に感染 | ScanNetSecurity
2026.07.19(日)

税務調査を装うメール、URL にアクセスすると最終的に ValleyRAT に感染

 株式会社インターネットイニシアティブ(IIJ)は1月23日、税務調査を装うメールを用いたValleyRATへの感染攻撃に関する注意喚起を「wizSafe Security Signal」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 株式会社インターネットイニシアティブ(IIJ)は1月23日、税務調査を装うメールを用いたValleyRATへの感染攻撃に関する注意喚起を「wizSafe Security Signal」で発表した。

 IIJのSOCでは2025年12月に、税務調査を装った攻撃メールを複数観測しており、攻撃メールにはPDFファイルを装った悪性ファイルのダウンロードを促す内容が含まれ、受信者がファイルをダウンロードして実行することで最終的にValleyRAT(別名: Winos)に感染するという。

 IIJのSOCでは2025年12月2日に、「税務書類のご確認のお願い」の件名のばらまき型攻撃メールを広範囲で観測している。同様の攻撃メールはSNSなどでも報告されており、PDFファイルの確認を促す旨の内容とGitHubのURLが含まれており、URLにアクセスするとEXEファイルを含むZIPファイルがダウンロードされる。

 また、2025年12月22日にも、「税務調査事前通知書」の件名のばらまき型攻撃メールを複数の顧客で観測しており。同様の攻撃メールはSNSなどでも報告されており、PDFファイルの確認を促す旨の内容と短縮URLが含まれており、URLにアクセスすると外部のサイトへリダイレクトした後に、EXEファイルを含むZIPファイルがダウンロードされる。

 いずれのメールも、リンク先でダウンロードしたZIPファイル内の資料ファイルに見せかけたEXEファイルを実行することで、最終的にValleyRATに感染する。税務関連の通知を装ったメールを起点としてValleyRATへの感染を狙う攻撃は、海外のセキュリティベンダーからも報告されている。

 「wizSafe Security Signal」では、IIJのSOCで観測したメールからダウンロードされるファイルについて解析した内容を紹介している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 「QRでアクセスするので該当者しか閲覧できない」と思い込み ~ マラソンのボランティアの個人情報閲覧可能に

    「QRでアクセスするので該当者しか閲覧できない」と思い込み ~ マラソンのボランティアの個人情報閲覧可能に

  2. エクセルファイルに個人情報が記載されたシートがあることに気づかず公開

    エクセルファイルに個人情報が記載されたシートがあることに気づかず公開

  3. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  4. 近畿大学薬学部の教員が個人情報が記載されたファイルをGoogleドライブ上で誤って学生に共有

    近畿大学薬学部の教員が個人情報が記載されたファイルをGoogleドライブ上で誤って学生に共有

  5. フィルタを解除すると全員のデータが閲覧可能なファイルを誤送信

    フィルタを解除すると全員のデータが閲覧可能なファイルを誤送信

ランキングをもっと見る
PageTop