確定申告期間:犯罪者の数当てゲームの格好のターゲット
犯罪者は確定申告期間に狙いをつけています。毎年この時期になると、人は多大なストレスを受け、慌ただしくもなるため、さまざまな犯罪手口に乗せられてしまう危険性が高くなります。確定申告期間は、犯罪者がフィッシングに加えて、ローカル・ファイル・インクルージョン(LFI)、SQL インジェクション(SQLi)、 Credential Stuffingなどの各種の攻撃に力を注ぐ時期でもあります。
今年はアメリカ合衆国内国歳入庁(IRS)が申告期間を 2021 年 5 月 17 日までに延長したため、犯罪者がこの日に狙いを定め、第 2 波が発生することが予想されます。
参考情報:
本日の投稿は、2018 年、2019 年、2020 年の各年の 3 月 18 日から 4 月 29 日の期間に観察された攻撃のデータをもとにしています。その他に、2020 年 6 月 17 日から 7 月 29 日までのデータも調査対象にしています。
これらの期間を対象にした理由は、通常の確定申告期間とその前後の攻撃トラフィックを調査するためです。Credential Stuffing に関してはデータの量が膨大で複雑であるため、できるだけ単純になるように 2020 年のデータに焦点を当てています。データを検討するにあたって、行政機関と民間の支援組織を含む米国の公共部門にターゲットを絞っています。
Web 攻撃
確定申告期間になると、あちこちでフィッシングが話題に取り上げられます。この投稿の後半でこれに触れますが、利用されている攻撃にはさまざまなタイプがあります。Akamai は、2018 年に 440 万件の Web アプリケーション攻撃、2019 年に 1,800 万件の Web アプリケーション攻撃を観察しました。実際、2019 年には米国の確定申告期限直後に 1,000 万件の LFI 攻撃を記録しました。
2020 年には、Web アプリケーション攻撃の合計件数は 2,020 万件にのぼり、そのうち 6 月 17 日から 7 月 29 日までの間の攻撃件数は 1,090 万件に及びました。新型コロナウイルス感染症の影響を受けて、IRS は確定申告期限を延長し、犯罪者はこれに乗じてさらに攻撃を仕掛けてきました。
その理由
LFI 攻撃は、サーバー側で動作する各種スクリプト(通常は PHP)を悪用しようと試みます。しかし、その標的は ASP、JAP などの Web ベースのテクノロジーに及ぶこともあります。攻撃が成功すると機密情報が漏洩する可能性が高く、その場合、この情報は別の攻撃に応用される可能性があります。同時に、LFI によってクライアント側でコマンドが実行されることもあります(原因は JavaScript の脆弱性)。これが、クロス・サイト・スクリプティングやサービス妨害攻撃につながる可能性があります。
一方、SQLi は Web サイトやサービスに対する直接の攻撃であり、組織が保有している情報を盗み取ったり、データベース自体に直接アクセスしたりすることを目的としています。SQLi にはコマンド実行という、犯罪者が使用する手口の中でも特に悪質な面があります。
2020 年 12 月に、Accellion は Accellion File Transfer Appliance(FTA)にゼロデイの SQLi 脆弱性があることに気づきました。FTA は、行政機関だけでなく、医療、法務、通信、金融の各業界の民間企業も使用しているファイル転送アプリケーションです。
ゼロデイ脆弱性は攻撃者たちに付けこまれ、世界中の組織のセキュリティ侵害に悪用されてしまいました。攻撃者は、SQLi を主な感染手段として利用し、root シェルの展開を開始した後、その root シェルを使用してデータを盗み取りました。被害者の中には、盗んだデータを世間に公表すると脅されて金の支払いに応じたところもあります。
この攻撃チェーンと、それに関連する 4 つの CVE の詳細については、こちらの Cybersecurity and Infrastructure Security Agency(CISA)の Web サイトでご覧いただけます。
Credential Abuse
Credential Abuse(別名 Credential Stuffing)は、犯罪者が好んで使用する自動攻撃の一種です。これは一種の数当てゲームです。確定申告期間には必ず数字が使用されます。犯罪者たちは、オンラインで税申告する際に脆弱なパスワードや使い回しているパスワードを選ぶ人が多いという事実を悪用するのです。
2020 年には、公共部門で合計 2 億 9,500 万件もの Credential Stuffing 攻撃が記録され、そのうちの 56%(1 億 6,660 万 3,107 件)が 6 月 17 日から 7 月 29 日までの間に発生していました。
その理由
Credential Stuffing 攻撃がうまくいくからです。犯罪者がこのような攻撃を実行する理由はいたってシンプルです。犯罪者は、人々が脆弱なパスワードを使用したり、パスワードを使い回したりするという事実に基づいて、ログインの組み合わせのリストを作成し、複数のサービスでそれらをテストします。パスワードの使い回しという問題がある場合、アカウントあるいはサービスが 1 つでも乗っ取られると、他のアカウントやサービスも乗っ取られる恐れがあります。
Credential Stuffing 攻撃の件数は、2020 年の終わり頃に向けて著しく増加したため、SEC の Office of Compliance Inspections and Examinations(OCIE)は、SEC に登録している投資顧問、ブローカー、ディーラー、登録者、企業に対して、攻撃増加のリスクに関する警告を発しました。
その警告で「OCIE のスタッフは Credential Stuffing 攻撃の頻度が増加していることを確認しており、その一部は顧客資産の損失と顧客情報への不正アクセスをもたらしている」と警鐘を鳴らしています。
納税シーズンにまつわる Credential Stuffing のリスクは、最近の出来事というわけではありません。2015 年に TaxSlayer, LLC は、その年の 10 月から 12 月の間に Credential Stuffing 攻撃により 9,000 件近くのアカウントが侵害されたと発表しました。この侵害を米連邦取引委員会(FTC)が問題視して行った告発の内容は、 TaxSlayer が個人情報保護規定とグラム・リーチ・ブライリー法のセーフガードルールに違反したというものでした。2017 年には FTC と TaxSlayer との間で和解が成立しています。
フィッシング
前述のように、フィッシングは、確定申告期間に犯罪者が使用するもう 1 つの典型的な手口です。犯罪者は、被害者をだまして機密情報を盗み出すために、国税庁(IRS)を含む、よく知られる税務関連機関や企業を装います。そして、その情報を使用して税関連の詐欺行為や、ID を悪用したその他の犯罪に及ぶのです。
ここで注意していただきたいのは、IRS が納税者との連絡に電子メール、テキストメッセージ、またはソーシャルメディアを使用して、PIN やパスワード、ユーザー名、または一般的に身分証明書に記載されている情報の開示を要求することはない、ということです。
同様に、IRS がそのような連絡手段を使用して、クレジットカードや銀行口座に関する詳細、その他の金融関連情報などの財務情報の開示を求めることもありません。
税金詐欺の被害に遭ったと思われる場合の対処方法などの詳細情報は、CISA の Web サイトに公開されています。
