Security

Microsoft 税務シーズンのフィッシング攻撃が認証情報を標的に

3分で読める

概要

Microsoft は、税務シーズンのフィッシング攻撃が増加していると警告しています。攻撃者は偽の CPA メッセージ、W-2 の QR コード、1099 をテーマにした誘導を使い、Microsoft 365 の認証情報を窃取したり、マルウェアやリモートアクセスツールを配布したりしています。これらのキャンペーンが重要なのは、信頼されたクラウドサービス、多段階リダイレクト、正規ツールを悪用して防御を回避し、アカウント侵害や広範なネットワーク侵入のリスクを高める、より標的型かつ回避性の高い手口になっているためです。

Securityでお困りですか?専門家に相談する

はじめに

税務シーズンは、今年もサイバー犯罪者にとって格好の活動時期となっています。Microsoft によると、納税申告、還付通知、給与関連フォーム、会計士とのやり取りの緊急性を悪用し、ユーザーをだまして認証情報を入力させたり、マルウェアを実行させたりするフィッシングおよびマルウェアキャンペーンが明確に増加しています。

IT 部門やセキュリティ チームにとって重要なのは、これらのキャンペーンが単なる一般的なスパムではない点です。多くは高度に標的化され、個別化されており、QR コード、多段階のリンク チェーン、クラウドでホストされたファイル、正規の remote monitoring and management (RMM) ツールの悪用を通じて、従来の検出を回避するよう設計されています。

新たな動向

Microsoft は、2026 年初頭に観測された複数の税務関連攻撃パターンを取り上げました。

  • CPA を装う Energy365 フィッシング
    "See Tax file" のような件名のメールでは、Excel 添付ファイルから OneDrive 上にホストされた OneNote ファイルへ誘導し、最終的に Energy365 phishing-as-a-service キットによる認証情報窃取ページへリダイレクトしていました。

  • SneakyLog を使った W-2 QR コード フィッシング
    "2025 Employee Tax Docs" というタイトルのメッセージには、個別化された QR コードを含む Word 文書が添付されていました。コードをスキャンすると、SneakyLog/Kratos フィッシング キットで運用される偽の Microsoft 365 サインイン ページに誘導され、認証情報や 2FA 情報の窃取を狙っていました。

  • ScreenConnect を配布する 1099 誘導
    税務フォームをテーマにしたドメインが金融ブランドや税務ブランドになりすまし、ユーザーに 1099-FR2025.exe をダウンロードさせ、ScreenConnect をインストールさせていました。ScreenConnect 自体は正規ツールですが、攻撃者によりリモートアクセス ツールとして悪用される可能性があります。

  • IRS と暗号資産をテーマにしたフィッシング
    別のキャンペーンでは、偽の IRS メッセージングと暗号資産関連のソーシャル エンジニアリングが使われ、クリック可能なリンクの代わりにコピー&ペースト用 URL を提示することで、自動検出の回避を図っていました。

管理者にとって重要な理由

これらのキャンペーンは、攻撃者が次の要素を組み合わせていることを示しています。

  • 説得力のある季節性の高い業務コンテキスト
  • 迅速に拡大できる phishing-as-a-service プラットフォーム
  • 個別化された添付ファイルとランディング ページ
  • MFA 回避手法
  • 永続化や hands-on-keyboard アクセスに使われる、正規署名済み RMM ツール

金融サービス、医療、教育、製造、小売、IT など、さまざまな業種が標的として観測されており、特に会計担当者や財務に近い職種はリスクが高い状況です。

推奨される次の対策

IT 管理者は、直ちに次の対策を講じる必要があります。

  • 税務関連メール に関するユーザー教育を強化し、特に予期しない W-2、1099、CPA、IRS メッセージへの警戒を促す。
  • Excel、OneNote、クラウド ストレージ リンクを含む QR コード ベースのフィッシング や多段階の添付ファイル チェーンをブロック、または厳格に検査する。
  • なりすまし対策、添付ファイル スキャン、URL detonation を含むメール セキュリティ ポリシーを見直す。
  • 承認された経路以外でインストールされた RMM ツール、特に ScreenConnect や SimpleHelp の悪用を調査する。
  • 可能な限りフィッシング耐性のある MFA を導入して ID 保護を強化し、不審な Microsoft 365 サインイン アクティビティを監視する。
  • 関連する侵害指標を特定するため、アドバイザリの Microsoft Defender による検出およびハンティング ガイダンスを活用する。

まとめ

税務シーズンは、攻撃者にとって緊急性と信頼を悪用しやすい予測可能な機会を与えます。Microsoft の最新の調査結果は、組織が税務関連メッセージを高リスクのフィッシング カテゴリとして扱い、環境全体で ID アクティビティとリモートアクセス ツールの両方を検証すべきであることを改めて示しています。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Threat Intelligence and Microsoft Defender Security Research Teamの元の記事を読む
SecurityphishingMicrosoft Defendertax seasonmalware

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。