納税の季節は「国税庁」詐欺にご用心

2016年2月29日

※(訳注)納税システムは日本と外国では異なりますが、お金に関連することが常に犯罪と隣り合わせであるのは万国共通です。この記事は米国の例ですが、似た事例が日本で起きないとも限らない…ということで、ご紹介させていただきます。

4月15日は不名誉な日として米国人に記憶されています。現在、この日は何かの記念日ではなく、むしろ税務署のお役人がやって来る日と認識されています。このデジタル時代に、近所の郵便局に長い行列ができる珍しい日かもしれません。税金を期日どおりに収めるには4月15日の締め切りに間に合わせなければなりませんから。

tax-scams-season-2016-featured

しかし、この日を気にしているのは、米国税庁(IRS)と納税者だけではありません。米国の納税者が膨大な数であること、またその年齢の幅が広いことを考えると、詐欺師やサイバー犯罪者にとっては、平凡な市民の背後ですばやく簡単に一儲けするのに最高のシーズンなのです。

でも、私の言葉を真に受ける必要はありません。2015年の年末、IRSはある声明(英語)で次のように述べています。

セキュリティサミットイニシアチブの一環として、IRSは税務業界および国家歳入部門と一致協力し、来る申告期間中、納税者へのなりすましに対する防御を一層強化します。

IRSは今年、個人納税者から1億5,000万件の納税申告書が提出され、その5件に4件は電子的なもの(ソフトウェアまたは電子申告で)であると予測しています。ちょっと計算してみても、Web経由で送信されるデータが膨大な量になることは明らかで、2016年に詐欺事件が発生するまでにはそれほど時間はかかりませんでした。

上のツイートで、わが同僚、GReATチームのドミトリー・ベストゥージェフ(Dmitry Bestuzhey)は、IRSを装った古典的なフィッシング手法を紹介しています。残念ながら、このような例は珍しいものではなく、IRSはまるまる1ページを割いてオンラインおよびオフラインでどのように不正行為が行われているかを説明しています(英語記事)。実際、2015年にBetter Business Bureauが追跡調査した1万件の詐欺事件のうち、4分の1近くが税金関連でした(英語記事)。

ドミトリーの例に加え、今年すでにニュースになった詐欺事件で知っておくべきものは他にもあります。

電話による脅迫 — 「IRSが即時支払いを要求している。支払わなければ法的刑罰または投獄を免れない」という内容の電話による脅迫は、2013年以降、90万件を超えています。毎年、この詐欺はさまざまな形であちらこちらに現れ、残念なことに、ランサムウェアと同様、汗水たらして働いて得た現金を詐欺師に渡してしまう人もいます。

フィッシングメール — 先ほどのドミトリーのツイートにもあるように、この手のメールはすでに出回っています。ですから、メールを読むときには、何をクリックしようとしているのかに注意しなければなりません。誰かがとんでもないことを狙っているかもしれませんから。

偽の申告 — Kaspersky Labではセキュリティやデータの侵害がいつ始まり、いつ終わったかを記録していますが、毎月、誰かの懐に影響するような漏洩が何かしら起こっているような気がします。まさかと思うでしょうが、IRSが個人の納税申告を合法的にストップする事例が発生しています。これは同じ社会保障番号を使って何者かがすでに税金を申告しているからです。司法制度とは異なり、この詐欺の餌食になった人は、自分が詐欺の被害者であることを相当苦労して証明しなければなりません。詐欺師が申告したものでも、コンピューターから見たら正当な社会保障番号を使った正当な申告だからです。

なるほど…それで、安全に過ごす方法は?

この記事の目的はみなさんを脅かすことではなく、みなさんのような罪なき人々を狙って盗みを働く詐欺師たちの手口を紹介することにあります。IRSも世の中には危険なことや悪い人がいることを十分承知していますし、やるべきことはやっていて、不正行為の阻止を最優先事項に掲げ、2015年の最初の11か月で140万件、還付金80億ドルに相当する申告への支払いを停止しました(英語記事)。

これは本当に結構なことですが、ナイジェリアの叔父さんがみなさんの情報を盗み、本来ならみなさんが貰うべき還付金の横取りを政府が止めてくれるとは思えません。ですから、財産の安全を守るためにぜひ、次の3つのアドバイスをきいてください。

誰も信じない: 子供の頃、『Xファイル』は我が家でとても大きな影響力を持っていました。この番組ではいろいろなものが登場しては消えていきましたが、その根底にあるテーマ「誰も信じるな」は常に私の頭から離れませんでした。Kaspersky Labで働き始めて6か月、この間、サイバー空間で発生した無数の不愉快なできごとを報告してきましたが、これは改めて「誰も信じてはならない」と心に誓いたくなる経験でありました。

財産について、守るべきルールはとてもシンプル。何かおかしいなと思ったら、質問してみることです。「つまり、あなたはお金を要求しているんですね?」と。名前を聞いて、折り返し電話できるかどうか確認します。その後、Googleで事実関係をチェックしましょう。納税額が不足していて、政府にお金を借りている状態になっているのであれば、政府がみなさんに連絡する方法は1通りではありませんし、IRSのサイト(英語)に書いてあるとおり、IRSに問い合わせて、事実関係を確認することにはまったく問題ありません。メールの場合も同じです。ある鳥がアヒルのように歩き、アヒルのように鳴くならば…そうですねぇ…

Fill in the blank… If it walks like a duck, or talks like a duck. It is a _________.

A post shared by Kaspersky Lab (@kasperskylab) on

IDと信用取引を監視: 信用取引やIDの監視を支援する製品は世の中にごまんとあります。クレジットカードや銀行口座に付属しているものもあれば、サードパーティのIDプログラムと連動しているものもあります。基本的なサイバーセキュリティ手段であるパスワードとプライバシー設定を超えたところで、オンラインIDを守るために、これらを詳しく調べてみることをお勧めします。

個人情報を渡さない: これは先ほどの「誰も信じない」と同じカテゴリーに入りますが、これだけで取り上げる価値があります。正直に言って、税務上、特別な理由がない限り、誰かに教えてくれと言われたからというだけで、社会保障番号を知らせるべきではありません。話をしている相手が、正当な目的を持つ本物の政府職員であると確認できる場合を除き、素直に教える必要はないのです。

先日、私の自宅にロボット(自動音声電話)から自動録音システムに、社会保障番号を吹きこめという電話がかかってきました。Googleで検索してみましたが、ボイスメールに残されていた会社名と一致しなかったため、私は社会保障番号の代わりに折り返し電話用の番号を吹きこみ、ロボットで何をしようとしているのかと尋ねました。

これは1週間以上前のことですが、彼らの狙いがわかったと思います。この作戦が1,000回に1回でも成功すれば、彼らにとっては価値のあることであるのは間違いありません。もし、親戚にお年寄りがいるなら、このことを知らせてあげてください。一定の収入しかない人にこのような電話がかかってきたら、それは恐ろしいことでしょうから。

これらのアドバイスを念頭に置き、常に注意を怠らないよう心がけてください。犯罪者はみなさんの事情など気にしていません。できるだけ楽に財産を巻き上げる方法をいつも探しているのですから。もし、何らかの不正行為を目撃したら、下のコメント欄に遠慮なくご記入ください。