ESETは7月1日(現地時間)、運営するセキュリティブログ「WeLiveSecurity」「Phishing scam poses as Canadian tax agency before Canada Day」において、カナダ歳入局(CRA: Canada Revenue Agency)からの税金の払い戻し通知を装ったフィッシングメールが確認されたと伝えた。CRAを名乗る差出人から届いたこのメールには、約500カナダドルの税金の還付が受けられるという案内とともに、偽のWebサイトに誘導するリンクが掲載されていたという。

  • CRAからの税金の払い戻し通知を装ったフィッシングメール(引用: WeLiveSecurity)

    CRAからの税金の払い戻し通知を装ったフィッシングメール 引用: WeLiveSecurity

WeLiveSecurityによれば、CRAからの本物の通知メールではリンクが使用されることはなく、代わりに公式のWebサイトを訪問するように促す案内だけが掲載されているという。これは、フィッシングメールがリンクによる誘導を多用することへの対策として、CRAが公式に採用している方針である。

偽のメールのリンクをクリックすると、本物のCRAのWebサイトを模倣した悪意のある偽のサイトにリダイレクトされる。この偽サイトでは、社会保険番号や生年月日、母親の旧姓などといった個人情報の入力が求められ、さらにクレジットカード情報も要求される。最後に正規のCRAのWebサイトにリダイレクトされるが、その時点ではすでに手遅れである。

  • CRAの税金還付の申請ページを装ったフィッシングサイト(引用: WeLiveSecurity)

    CRAの税金還付の申請ページを装ったフィッシングサイト 引用:WeLiveSecurity

税金の申告や還付の通知を装うフィッシングメールは、国内外で広く使用されている定番の詐欺手法とも言える。この手のフィッシングキャンペーンは、特に申告期限の前後に集中して行われる。日本の場合、今の時期であれば住民税の納税通知などを装う手口が考えられるだろう。このような詐欺の被害に遭わないように、無闇に添付ファイルを開いたりメール本文のリンクをクリックしたりしないといった、基本的な対策を徹底するよう注意したい。