アフィリエイト広告を利用しています
検索
<< 2022年09月 >>
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  
最新記事
タグクラウド
カテゴリーアーカイブ
ファン
最新コメント
プロフィール
ゼロから始めるシステム開発さんの画像
ゼロから始めるシステム開発
 こんにちは!ナビゲータのEVEです。各種研究室を用意し、次期EVEシステムを製造しようと日々頑張っています。現在一番力を入れているのが、資金調達です。このブログもその一環ですので、ご協力いただければ嬉しいです。
プロフィール

2022年09月17日

国税庁からの詐欺メールについて [セキュリティ研究室]




 こんにちは!
 ナビゲータのEVEです。

 このブログを見ている人は知っている人は多いと思いますが、私、Twitterを利用しています。本日、Twitterを見ていると、「国税庁」を装う詐欺メールが横行しているようです。今朝から、うるさいなと思えるぐらい来ているので、発信元を調べるとすべてテレ朝newsからでした(笑)。内容を見てみると、かなり頑張って、リポートしているようなので、ちょっと、その内容について触れたいと思います。

2023年度版 ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 [ TAC株式会社(情報処理講座) ]

価格:3,080円
(2022/9/17 18:26時点)
感想(0件)



[どんな詐欺?]
 どんな詐欺なのか、その流れをおってみましょう。

@国税庁からということで、ショートメールが届きます
Aメールの内容を見てみると、滞納していると書かれているそうです
 家のモノを差し押さえるといった内容の記述があり、受け取った人からするとかなり、緊張してしまう内容です
Bショートメール本文の[お支払いへ]というリンクタグをクリックしてしまう
C差押最終通知というページが表示される
Dその後クレジットカードのお支払いのページが表示され支払を促される

 以上のような流れで、詐欺にあってしまうそうです。現在、国がDXを推進していることを多くの国民が認識しているようで、ついつい支払ってしまったというケースが多発しているようです。


[国税庁では?]
 一般市民が税金というと、通常区役所等で支払うため、あまりなじみがない国税庁なのですが、どんな業務をしているのでしょうか?

 ウィッキペディアでは、以下のように記述されています。

「国税庁は、日本の行政機関のひとつ。内国税の適正かつ公平な賦課・徴収の実現、酒類業の健全な発達及び税理士業務の適正な運営の確保を図ることを目的として設置された財務省の外局である。」

 税金の部分については、

1)内国税の賦課及び徴収に関すること(第4条第17号)
2)酒税の保全並びに酒類業の発達、改善及び調整(第4条第19号)

 多分、1)の業務に該当する部分で、国民の税金に関わることがあるのかもしれませんが、テレビ朝日のインタビューの中で、国税庁の職員の方が、このようなことはありませんと断言されていました。ただ、私以前、税金を年払いにしていて、不足していたことがありました。そのとき、区の方からショートメールで「滞納のお知らせ」というのが来たことがあります。その時のことを考えると、あるかもしれないと思ってしまいます(笑)。
 
 8月時点の話なのですが、問合せが国税庁に、一日130件ぐらいきており、その量は、通常の6〜8倍ぐらいの量だそうです。


[どんな詐欺]
 どんな詐欺か先に言うと、偽装メールのようです。ショートメールの構造については、知らないのですが、どうも通常のメールと同じ構造となっているらしいです?

 メールは、以下の3つの部位に分かれています。分かれているといっても、改行コードしか入っていないのですが・・・。
メールの構造.png

T,エンベロープ
U,ヘッダ
V,メール本文

通常メールに表示されている送信元情報は、U,ヘッダ情報が表示されていますが、メールで送信するとき、システム的に利用しているのは、T,エンベロープ情報になります。以上のような作りのため、メール送信ソフトを自作で作り、そこの情報を偽装することはそれほど難しくありません。このケースの場合、もっと凝っているのは、送信元も複雑に分からないように送信しているようです?
 今回の攻撃メールとか手元にないので、分からないのですが、送信元を偽装する方法として以下の2つの方法が考えられます。

1)複数のサーバを経由してメールを送信する
2)メールのバケツリレー機能(*1)を利用して、複数のサーバを経由する

 1)は、1990年代にTelnetを用いてよく利用されていた方法なのですが、世界各国のサーバを複数というか、何百も経由して送信するという方法です。
 2)は、メールにメールリレーという機能があり、そのメールリレーを複数のサーバを経由して行う方法です。

 現実問題として、メールリレーする場合、メールサーバを構築、もしくは、ハッキングしなけばいけないので、ちょっと難易度が高いです。多分ですが、実行は、1)の方法で、複数のサーバにログインし、ログインした最終サーバからメールを送信したという方法のような気がします。番組の中では、あまり使われない手法と話していましたが、古いエンジニアなら、あっ、あれね?って思うかもしれませんね(笑)

[どうしたらいい?]
 以上のように、メールを偽装し、送信元を複雑化することにより、現在、詐欺をしようとしているようです。では、このような詐欺にかからないようにするにはどうしたらいいのでしょうか?

 このようなメールをもらって、私のようなケースもあるので、心配になる人もいるかもしれませんが、心配な場合でも、もらったメールに返信してはいけません。国税庁と書いてあるなら、国税庁の電話番号を調べて、電話で確認することを勧めます。

 ようは、メール等でいただいた情報に基づき、その情報の正確性を調べるのではなく、文面からの情報を信頼できるところで確認し、調べたその情報でメール本文の正確性を確認するというのが対応方法として一番いいと思います。

 くれぐれも、いただいたメールに返信、電話等はしてはいけません。
 情報処理安全確保支援士とか偉そうに言っていますが、私も合格前ではありますが、詐欺にかかりそうになったことがあります。実害はなかったのですが、個人情報を取られてしまいました。実害がないって、これも実害ですか?ちょっと、心の隙、油断しているときが、人間って必ずありますので、気をつけましょう!私も気を付けます。

 では、また!

追伸・・・。
テレ朝newsから、うるさいなと思えるぐらい来ている思っていた、国税庁を名乗る詐欺に関するニュースは、今調べると思ったほど来ていませんでした。失礼をいたしました。気のせいでしょうか?


■【独自】「国税庁」装う詐欺メール “納税求める”被害相談が急増…“発信元”を追跡
https://news.tv-asahi.co.jp/news_society/articles/000268440.html

*1)以下のYouTubeでバケツリレーの解説をしています
 情報セキュリティスペシャリスト(情報処理安全確保支援士)試験 平成21年春 午前U 解説[セキュリティ研究室]〜ゼロからはじめるシステム開発〜