4月18日の納税日までは税金のことなど考えたくないかもしれませんが、オンライン詐欺師たちはすでにあなたの税金還付金と個人情報を盗み取ろうと企んでいます。2011年の納税シーズンを狙った詐欺には、日本の災害支援への慈善寄付に対する税額控除の約束、検索エンジン向けに最適化されたマルウェアに感染したウェブサイト、危険なメール、そしてソーシャルネットワークFacebookで見られるいわゆる「いいねジャッキング」の手法などが含まれます。
内国歳入庁(IRS)によると、2011年にはすでに約1,900万人が自宅で納税申告を行っており、これは前年比で約6%増加しています。そのため、この時期は税金関連のオンライン詐欺が横行する時期です。詐欺師たちは、納税者が控除や税法に関する情報を求めていることを知っています。そして、納税者がこの時期に個人情報をオンラインで提出し、機密性の高い財務書類をハードドライブに保存していることも知っています。
セキュリティ企業Sophosの広報担当者、ジェニファー・トロード氏によると、ほとんどの人は確定申告をギリギリまで待ってしまうという。詐欺師たちはこの事実を知っており、「数週間かけて、慌てふためく申告者を自分たちの罠に誘い込む方法を見つけようとしている」と彼女は言う。
今度の納税シーズンに、税金詐欺に巻き込まれないようにするための 5 つのヒントをご紹介します。
マカフィーのコンサルタントであり、個人情報窃盗の専門家でもあるロバート・シチリアーノ氏によると、2011年の最新の詐欺の中には、日本地震の救援活動に寄付をすれば2010年の確定申告に税額控除が適用されるという偽メールが含まれているという。「この詐欺は、昨年ハイチに関して実際に可決された法律に類似した口実に基づいている」とシチリアーノ氏は述べている。2010年1月、議会はハイチ支援所得税優遇措置法を可決した。この法律により、納税者は2010年1月11日から3月1日までの間にハイチ救援活動に寄付し、2009年の確定申告で控除を申請できるようになった。今のところ、政府は今年の日本への救援活動に関して、遡及的な税制措置を定めていない。
ヒント:地震救援金詐欺はインターネット上に数多く存在しますが、この特定の詐欺がどれほど蔓延しているかは明らかではありません。税控除の対象となる寄付を安全かつ効果的に行う方法について詳しくは、IRS.govのこちらの通知をご覧ください。
2. フィッシング詐欺
納税シーズンに人々を騙す最も一般的な手口の一つは、IRSの公式サイトや正規の税務申告サービスに見せかけたウェブサイトを立ち上げることである。「TurboTaxなどのブランド名を悪用し、税務申告サービスになりすまして個人情報を盗み出す詐欺師がいるのを確認しています」と、Sophos Labsのマネージャー、リチャード・ワン氏は述べている。
セキュリティ企業Webrootの脅威調査ディレクター、ジェフ・ホーン氏によると、マルウェアを仕込んだPDFファイルをダウンロードさせるように設計されたサイトもあるという。ホーン氏はまた、「ドライブバイダウンロード」と呼ばれる手法を使って、マルウェアをこっそりとユーザーのマシンに侵入させようとするサイトもあると警告している。こうしたサイトには、ユーザーのブラウザの脆弱性を探すコードが含まれており、ユーザーが知らないうちにマルウェアをダウンロードする可能性がある。脆弱なブラウザを使ってサイトにアクセスするだけで、この手法を悪用する攻撃者の被害に遭う可能性があるのだ。
税金関連のマルウェアがマシンに読み込まれると、キーロガーを設定してコンピューターに入力したすべての内容を追跡したり、保存したドキュメントで「社会保障」や「1040」など納税シーズンに関連するキーワードを検索したりできるようになります。
ヒント:ドライブバイ ダウンロードに対する最善の防御策は、Google Chrome や Mozilla Firefox などの最新の Web ブラウザを常に使用することです。
3. ブラックハットSEO
詐欺師が被害者を誘い込むために用いる手口の一つは、サイトをGoogle検索向けに最適化することであり、これは「ブラックハットSEO」(検索エンジン最適化の略)と呼ばれる手法です。ホーン氏は、これらのサイトはGoogleトレンドやGoogleインサイトなどのリソースを利用して、人々が税金関連のどのような検索をしているかを把握しているのではないかと推測しています。犯罪者が今年の税金関連検索で特に人気の高いキーワードをいくつか把握してしまえば、偽サイトを検索エンジン向けに最適化するのは難しくありません。
ヒント:「税務書類を探すのに検索エンジンは絶対に使わないでください」とホーン氏は言います。代わりに、IRS.gov、USA.gov、または「.gov」で終わる各州政府のサイトなど、政府のサイトに直接アクセスして、納税申告書やその他の税務情報を探してください。
4. ライクジャッキング
Facebookやその他のソーシャルネットワーキングサイトは、納税シーズンに手っ取り早く儲けようとするオンライン詐欺師にとって、主要な標的となっています。ホーン氏によると、Webrootは「ライクジャッキング」と呼ばれる、詐欺師がFacebook上の詐欺サイトにユーザーを騙して「いいね!」させようとする事例をいくつか確認しています。この目的を達成するには、Facebookの「いいね!」ボタンをサードパーティのウェブサイト上の別のボタンの下に隠したり、ブラウザの脆弱性を悪用してJavaScriptのコードをいくつか使用し、「いいね!」ボタンを勝手に押させたりするといった手法が用いられます。
サイトに「いいね!」すると、Facebookのニュースフィードに外部リンクが表示され、「この無料の税務申告サービスを利用して500ドル獲得しました」といった詐欺メッセージが添えられます。このメッセージを見た友人は、リンクをクリックしてフィッシングサイトやスパムサイトへ誘導され、Webトラフィックを増やして広告収入を増やそうとしている可能性があります。ただし、大学などの機関や個人の友人がFacebook上で合法的な税務申告サービスを宣伝している場合もあるので注意してください。
ヒント:友人のFacebookメッセージだけを頼りに税務申告サービスを選ぶのはやめましょう。少なくとも、友人に直接連絡を取り、そのサービスを推奨しているかどうかを確認してください。
IRSを装った偽の還付通知。画像提供:Sophos 
スパムメールの危険性は広く認識されているにもかかわらず、オンライン詐欺師たちはこの手口が利益を生むと確信し、使い続けています。注意すべき手口の一つは、IRS(内国歳入庁)を装い、納税申告書のダウンロードを促すメッセージです。また、偽のウェブサイトに誘導して還付金を請求しようとする手口もあります。サイトにアクセスすると、ドライブバイダウンロードの被害に遭ったり、還付金の詳細を確認するために社会保障番号の入力を求められたりする可能性があります。
ヒント: IRS が、個人情報の提供を要求したり、納税申告書を添付した電子メール メッセージを送信することはありません。
自分を守るためのヒント
詐欺が蔓延する中、オンラインでどのように安全を確保すればよいかを知るのは困難です。しかし、ホーン氏は、悪質な人物を阻止するための6つのステップを挙げています。
1. 確定申告をする前に、ウイルス対策ソフトウェアが最新であることを確認してください。そうすることで、プログラムは最新の既知の脅威に常に警戒するようになります。
2. オンラインで税務関連情報を扱う際は、使用するブラウザに注意してください。ブラウザは最新バージョンを使用し、最新のセキュリティパッチが適用されていることを確認してください。ドライブバイダウンロード対策として、人気のアドオン「NoScript」を搭載したMozilla Firefoxの使用をお勧めします。また、インターネットを利用するアメリカ人の3%がまだInternet Explorer 6を使っている場合は、お使いのOSで利用可能な最新バージョンのIEに切り替えてください。あるいは、ChromeやFirefoxなどの他の人気ブラウザを使用するのも良いでしょう。
3. 政府文書を探すのに検索エンジンは絶対に使用しないでください。代わりに、IRS.gov、USA.gov、または各州政府の.govで終わるサイトに直接アクセスし、そこでフォームを検索してください。
4. IRS(内国歳入庁)を装ったメッセージに添付されている添付ファイルは、決して開いたりダウンロードしたりしないでください。最も賢明な対策は、迷惑な税金関連のメールを開かないことです。一部の有害なメッセージはHTMLを使用してブラウザの脆弱性を悪用し、ドライブバイダウンロードを開始するためです。
5. スターバックスの無料Wi-Fiなど、暗号化されていない無線接続で税務申告をするのは絶対にやめましょう。自宅では、WPA2などの最新の無線セキュリティ暗号化規格を使用していても、機密性の高い財務情報を扱う場合は、LANケーブルではなく有線接続を使用する方が賢明です。
6. 今年の確定申告が終わったら、税務関連ファイルはすべてUSBメモリ、外付けハードドライブ、またはその他のリムーバブルストレージに保存し、安全に保管してください。その後、コンピューターのハードドライブからすべての税務ファイルを消去してください。ホーン氏によると、税務関連のマルウェアは、確定申告期間が終わっても長期間オンラインに潜んでいる可能性があります。もし感染し、税務申告書をパソコンの専用フォルダに保存していた場合、詐欺師があなたの個人情報を盗むのに時間はかかりません。
IRSは、フィッシングやその他のメール詐欺から身を守るための役立つ情報を多数提供しています。IRSは、納税者のパスワード、PIN、銀行口座やクレジットカードに関するその他の秘密データを要求することは決してないことを強調しています。さらに、IRSがメールで納税者と連絡を取ることもありません。IRSを装った不審なメールを受信した場合は、メッセージを変更せずに[email protected]に転送することで報告できます。オンラインでの税務セキュリティに関するその他のヒントについては、IRSの個人情報保護に関するページをご覧ください。
最新の技術ニュースと分析については、Twitter でIan Paul ( @ianpaul ) および Today@PCWorldをフォローしてください。
