あなたの納税申告書がダークウェブで20ドルで売られている

確定申告の時期は、個人情報の盗難が最も多発する時期でもあります。犯罪者は盗んだ個人情報を悪用し、本物の納税者よりも先に虚偽の確定申告を行い、還付金を不正に受け取ろうとします。ここでは、その手口と、身を守る方法について解説します。

「なりすましIdentity 詐欺（SIRF）」とは何ですか？

「Identity （SIRF）」とは、犯罪者が他人の個人情報（社会保障番号や生年月日など）を盗み、その人物の名義で虚偽の確定申告を行い、税金の還付金を不正に受け取ろうとする税務詐欺の一種です。

詐欺師たちは通常、納税シーズン初期に、本物の納税者が申告を行う前に虚偽の申告書を提出するため、還付金は正当な納税者ではなく彼らに支払われてしまう。

その資金は、多くの場合、犯罪者が管理する銀行口座、デビットカード、または住所に送金されます。被害者は通常、自身の正当な確定申告が却下されたとき、あるいは米国国税庁（IRS）などの税務当局から、自分の名義で既に還付金が支払われたと通知を受けたときに初めて、この詐欺に気づきます。

一体どうしてそんなことがあり得るんだ？ 

アメリカ国民が毎年恒例の確定申告の締め切りに追われる中、Dark Web 隠れたエコシステムがDark Web 、確定申告シーズンは国際的なサイバー犯罪者たちにとって一年のうちで最も儲かる時期となっている。Malwarebytes詐欺・AI研究グローバル責任者であるシャハク・シャレフ氏は次のように述べた：

「人々は税金や還付金、申告に関する連絡を待っているため、フィッシングメールや偽のIRS（米国国税庁）からの警告を信じやすくなってしまいます。同時に、ダークウェブでは税務詐欺を行うために必要な個人情報が驚くほど安価で取引されています。詐欺師たちが税務申告シーズンを毎年恒例の好機と見なしているのも、当然のことでしょう。」

不正な還付請求が急増している背景には、ロシア語圏のアンダーグラウンド・フォーラムに深く根ざした、高度に組織化された犯罪サプライチェーンが存在する。こうした専門的なプラットフォームこそが、税務詐欺を可能にする主要な要因となっている。  

詐欺師たちは、一からデータを収集するのではなく、盗まれた個人識別情報（PII）を含む膨大なデータセットを、すぐに使えるW-2フォームや1040フォームと共に購入するだけで済む。さらに高度な手口としては、初期アクセスブローカー（IAB）が、ハッキング被害に遭った公認会計士（CPA）や会計事務所への直接的なネットワークアクセス権をオークションにかけている。  

生データやアクセス権にとどまらず、この闇市場では、裏付けとなる財務書類を偽造するオンデマンドサービスや、手順を段階的に解説したチュートリアルを掲載した専用ガイドサイトなど、「詐欺サービス（Fraud-as-a-Service）」の包括的なツールセットが提供されている。 

個人識別情報（PII）の闇市場 

この違法取引の中心にあるのは、ロシア語圏有数のアンダーグラウンド・フォーラムの一つであり、詐欺師たちが税務関連の個人識別情報（PII）を売買するための主要な市場として機能している。このデータの商品化は、その効率性において驚異的であり、従来の電子商取引プラットフォームとほぼ同様の仕組みで運営されている。  

当社の調査チームは、この取引活動に関するいくつかの興味深い事例を把握しており、データの鮮度やターゲット層に基づいて明確な価格帯が設定されていることが明らかになっています。最近確認されたある出品事例では、攻撃者が100件分の完全な納税申告書のセットを2,000ドルで売り出しており、実質的に、書類一式が揃った盗難ID1件あたりの価格はわずか20ドルとなっています。  

一方、2024年度分の古いデータダンプは在庫一掃のため大幅に値引きされており、同期間の富裕層の退職者や年金受給者に特化した機密性の高い記録は、現在1件あたり4ドル未満で取引されている。 

アクセス権の売却 

この膨大な量の税務関連データには、どこかにその出所があるはずであり、サイバー攻撃者はまさに「大当たり」となる標的を見出した。それは、税務申告や会計業務を扱う米国企業である。  

攻撃者の立場からすれば、一般市民を騙して個人情報を引き出そうと広範囲に手を出すよりも、こうした機密情報の集中管理拠点となっている特定の企業を攻撃するほうが、はるかに効率的である。 

当社の調査チームは最近、この手口が実際に使われている典型的な事例を突き止め、米国に拠点を置く税務サービス会社への不正アクセス権をDark Web 特定しました。被害を受けた組織は中小企業であり、悪用可能な情報への容易なアクセスを狙う犯罪者にとって典型的な標的となっています。

これらのシステム上の脆弱性を悪用し、攻撃者は同社の内部インフラに密かに侵入することに成功し、現在、1,600人以上の顧客に関する極めて機密性の高い個人識別情報（PII）がすべて含まれたデータベースへの直接アクセス権をオークションにかけている。 

販売中の追加データ 

攻撃者が詐欺の手口を進める過程で、個人識別情報（PII）の一部が不足していたり、本人確認に必要な極めて詳細な財務書類が求められたりするといった障害に直面した場合でも、サイバー犯罪の闇市場では、こうした問題をシームレスに解決するための包括的なオンデマンド・サービスが提供されている。  

当社の調査チームは、「Cypher – Fullz and Docs」と呼ばれる特定の闇市場を追跡しました。この市場は、盗まれた米国の個人情報を一式揃えた、すぐに使えるセット（アンダーグラウンドでは一般に「フルズ」と呼ばれる）を、1セットあたりわずか0.75ドルで販売することを専門としています。  

しかし、必要なチェックを回避するには、基本的なデータがあるだけでは不十分な場合もあります。

不正な請求を正当化するために追加の書類が必要な場合、攻撃者は「Fakelab」のような専門の偽造サービスを利用するだけである。 20ドルから40ドルというわずかな料金で、「Fakelab」は違法なデジタルデザインスタジオとして運営されており、カスタマイズされたW-2フォームから本物そっくりの銀行取引明細書に至るまで、攻撃者が必要とするあらゆる税務関連書類を入念に偽造し、詐欺が滞りなく進行するよう手配している。 

チュートリアルとガイド 

税務詐欺のライフサイクルの集大成であり、攻撃者にとって最も危険な段階となることが多いのが、資金の引き出しです。詐欺を成功裏に完結させ、盗んだ資金を引き出すためには、詐欺師たちは強固な金融インフラを必要とします。通常、彼らは不正アクセスされた「受け渡し用」の銀行口座や、資金洗浄や足跡を隠蔽するために設計された補助的な金融ツールに依存しています。  

当然のことながら、Dark Web 、この重要な段階を実行するために必要なツールだけでなく、詳細なノウハウも提供している。我々の調査チームは、「Flava」と呼ばれる専用のアンダーグラウンド・リソースを特定した。これは、指導情報を集約したハブとしての役割を果たしている。このプラットフォームには、米国市民や居住者を標的としたこうした複雑な資金引き出しスキームをどのように仕組むかを具体的に解説した、包括的で段階的なチュートリアルが溢れている。 

安全に過ごすには

「盗用されたIdentity 詐欺」は、身分盗用が単なる不正購入につながるだけではないことを改めて示しています。それは、確定申告といった極めて基本的な手続きにも影響を及ぼす可能性があるのです。

サイバー犯罪者は、盗まれた個人データや不正アクセス権、詐欺を支援するためのツールを販売する闇市場を利用しています。これにより、犯罪者は偽の確定申告を迅速かつ大規模に行うことが容易になっています。

納税者にとっての最善の対策は、犯罪者が入手できる個人情報を最小限に抑え、早めに確定申告を行い、誰かが自分の身元を悪用しようとしている兆候に注意を払うことです。

税務詐欺は、多くの場合、犯罪者がまずあなたの個人情報を入手することから始まります。犯罪者が入手できるデータが少なければ少ないほど、あなたになりすますことは難しくなります。リスクを軽減するために役立つ対策をいくつかご紹介します：

• 早めに確定申告を済ませましょう。正当な確定申告を早めに提出しておけば、犯罪者があなたの名前で先に申告を行うのを防ぐことができます。
• 社会保障番号を大切に守りましょう。どうしても必要な場合を除き、社会保障番号を他人に教えないようにしてください。
• フィッシングメールやSMSに注意してください。詐欺師は、IRS（米国国税庁）や銀行、税務サービスなどを装い、個人情報を聞き出そうとすることがよくあります。
• 強固でユニークなパスワードを使用してください。犯罪者があなたのメールや金融口座にアクセスした場合、あなたになりすますために必要な情報を入手できてしまう可能性があります。
• 口座や信用情報レポートを定期的に確認しましょう。予期せぬ納税通知、還付金の却下、あるいは見覚えのない金融取引などは、すべてなりすまし被害の兆候である可能性があります。
• IRSのIdentity PIN（IP PIN）の利用をご検討ください。IP PINは、確定申告の際に追加の本人確認手順を加えることで、犯罪者があなたの名義で申告を行うのを防ぐのに役立ちます。

注：これらのダークウェブのスクリーンショットは、ロシア語から大まかに翻訳されたものです。