IRSなりすましが2.9万人規模、RMM悪用で持続化——米税シーズン便乗をMicrosoftが警告

今日の深掘りポイント

• 攻撃は“古典の上に現代の道具立て”です。税還付・給与明細・提出リマインダーという王道の誘因に、QRコードや正規RMM（リモート管理ツール）悪用が重ねられている点が本質です。
• 被弾母集団の大半が米国内である一方、会計士・税務専門家を踏み台にした拡散は国境を容易に超えます。多国籍企業や米国拠点を持つ日本企業は他人事ではないです。
• 即応の余地が大きいインシデントです。メール・アイデンティティ・エンドポイントそれぞれに「今日からできる」抑止と検知が明確にあります。
• RMMは「マルウェアではないから通る」を逆手に取った常套手段です。許可リスト運用とテレメトリの二段構えが不可欠です。
• QRコード誘導は“PCでのメール対策をスマホでバイパス”する狙いが色濃いです。モバイルも含めたゼロトラストの網をかけ直す好機です。

はじめに

米国の確定申告シーズンを狙ったフィッシングが、29,000人超に影響したとMicrosoftが注意喚起しています。偽の還付通知や給与明細、提出リマインダーを装ったメールが、添付ファイルやQRコードで受信者を誘導し、資格情報の窃取やRMMの不正導入に至る事例が観測されています。会計士や税務の専門家が特に狙われ、95%が米国内組織という偏りも報告されています。一次情報はMicrosoftの発信に依拠しつつ、報道は以下を参照しています。

• 2026年2月10日開始のキャンペーンで、29,000人以上に影響。標的の約95%は米国企業。誘因は還付通知・給与明細・提出リマインダー、誘導は悪意ある添付とQRコード。RMM悪用の報告あり、特に会計・税務専門職が狙われるとされています。

このニュースは、緊急性と実装可能性がともに高い典型例です。技術と運用の両輪で「いま、どこに網を張るべきか」を整理します。

参考: The Hacker News: Microsoft Warns IRS Phishing Hits 29,000 Users, Deploys RMM Malware

深掘り詳細

事実関係（公開情報）

• 規模と期間
  • 2026年2月10日頃からのキャンペーンで、少なくとも29,000人が影響を受けたとされています。標的の約95%は米国内の組織です。
• 誘因と配信経路
  • 税還付通知、給与明細、提出期限リマインダーを装ったメールが用いられ、悪意のある添付ファイルの開封や、QRコードのスキャンにより誘導される手口です。
• 標的の偏り
  • 会計士や税務専門家を中心に、税関連のコミュニケーションが多い職種・業界が狙われています。
• ペイロードの性質
  • 正規のリモート管理ツール（RMM）が攻撃後の持続化や遠隔操作に悪用されるケースが報告されています。

出典: The Hacker Newsの報道（Microsoftの注意喚起内容を要約する二次情報です）

編集部のインサイト

• RMM悪用は「検知の死角」を衝く現実解です
  • RMMは業務で広く使われる正規ツールです。攻撃者は新種のマルウェアよりも、導入・運用実績のあるRMMを「静かに置く」方が、EDRやゲートウェイでの阻止をすり抜けやすいことを理解しています。正規署名・既知プロトコル・クラウド中継などが防御側のシグネチャ依存を鈍らせます。結果として、「使われて困るRMMを先に決めて拒否する」許可リスト運用の価値が跳ね上がります。
• QRコードは“モバイル経由の境界回避”という設計です
  • メール上のリンクや添付は堅牢化が進みましたが、画像内のQRは検査をすり抜けやすく、さらにスキャン端末が私用スマホであれば、企業のプロキシやDNSフィルタの外に出ます。これは組織のゼロトラスト設計に「モバイル前提」のギャップがあると一気に効いてきます。
• サプライチェーン波及の起点としての“税務プロフェッショナル”
  • 税務・会計事務所は、多数の企業の給与・請求・口座情報を扱うハブです。1社の認証情報や端末が侵害されると、複数顧客のメールスレッド乗っ取りや請求書改ざん（BEC）に展開しやすい構造です。米国発でも、日本子会社・海外拠点・外部税務委託先を通じて波及しうる点に注意が必要です。
• 本件の評価軸
  • 緊急度と実務対応可能性が高く、再現性が高い脅威と評価できます。一方で、手口の新規性は限定的で、既存コントロールの“穴”を突かれた印象です。したがって、MFAやメール訓練の一般論に留めず、RMM・QR・モバイルという具体的なギャップをどう埋めるかが勝ち筋です。

日本企業への含意（仮説）

• 米国拠点・米会計事務所とのやり取りがある日本企業は、同一のテンプレートで狙われる可能性が高いです。特に四半期決算・年次監査の文脈で「給与・税・還付」名目の書類のやり取りが増える部門は要注意です。
• 日本国内では年末調整など税スケジュールが異なりますが、「期末・決算・人事異動」などの繁忙期を攻撃者は模倣しがちです。季節の行事に合わせた“名目の差し替え”に備えるべきです。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。具体のTTPは組織により異なるため、あくまで調査・演習設計のたたき台として提示します。

• シナリオA：QRコード経由のクラウド侵害からBECへ

  1. 初期侵入
     • T1566.002 Phishing: Spearphishing Link（メール内のQRコード画像から悪性URLへ）
     • T1204 User Execution（ユーザー操作依存の誘導）
  2. 認証・横展開
     • T1078 Valid Accounts（取得したM365等の資格情報で正規ログイン）
     • T1098 Account Manipulation（メール転送/受信トレイルール設定による隠蔽、仮説）
  3. 情報収集・窃取
     • T1114 Email Collection（過去スレッド・連絡先の収集）
  4. 影響
     • 支払い先変更の依頼送付などBECに展開、財務損失・取引先信用失墜が発生します。

• シナリオB：添付ファイル経由のRMM設置と持続化

  1. 初期侵入
     • T1566.001 Phishing: Spearphishing Attachment（税関連を装う添付）
     • T1204 User Execution（添付実行）
  2. 実行・持続化
     • T1219 Remote Access Software（正規RMMの導入・悪用）
     • T1547 Boot or Logon Autostart Execution / T1053 Scheduled Task（自動起動・タスク登録、仮説）
     • T1036 Masquerading（正規プロセス/名称を装う、仮説）
  3. 指揮通信
     • T1071 Application Layer Protocol（RMM既定プロトコル/HTTPS通信）
  4. 発見・横展開
     • T1082 System Information Discovery / T1049 System Network Connections Discovery（環境偵察、仮説）
     • T1021 Remote Services（内部横展開、仮説）
  5. 影響
     • 継続的な遠隔操作、データ窃取、二次攻撃（ランサム/BEC支援）に発展します。

• シナリオC：税務委託先を踏み台にしたサプライチェーン侵害

  1. 税務事務所のメール・端末侵害（上記A/Bのいずれか）
  2. 正規スレッド乗っ取りで顧客企業へ偽の請求・給与データ更新依頼
     • T1566.003 Spearphishing via Service（実在スレッド/サービスを介した誘導、仮説）
  3. 顧客側の支払い改ざん・データ流出

影響の幅は、単発の資格情報漏えいから、財務被害・規制報告・広範なサプライチェーン波及まで広がります。RMM悪用が成立すると滞在期間が伸び、発見時には“既に外周まで火が回っている”状態になりやすいです。

セキュリティ担当者のアクション

“メール・アイデンティティ・エンドポイント・モバイル・サプライヤ”の五面で、即効性のある対策を優先順位付きで整理します。

• アイデンティティ（最優先）

  • フィッシング耐性の高い要素でMFAを標準化します（FIDO2/プラットフォームパスキー等）。SMS/TOTPのみの運用は見直します。
  • 条件付きアクセスで「デバイス準拠＋強力MFA」を必須化し、地理・挙動ベースの異常（短時間多地域ログイン、リスキーIP）を遮断します。
  • 受信トレイルールの新規作成・外部転送の検出/ブロックとアラート通知を有効化します。

• メールとコンテンツ検査

  • QRコード対策をポリシーに明文化します。具体的には、(1) 画像内QRの自動検出・無効化/リライト、(2) QR先URLのサンドボックス・レピュテーション検査、(3) 社員向け“メール内QRをスマホで読まない”運用ルール徹底です。
  • 税・給与・還付を名目とする高リスク文脈のメールにタグ付けし、件名・本文のキーワード＋外部送信者フラグの組み合わせで検知感度を一段上げます。
  • DMARC/DKIM/SPFの整備と厳格運用（p=quarantine/ reject）を自社・主要ドメイン双方で確認します。

• エンドポイントとRMM対策

  • 許可されたRMMのホワイトリストを定義し、未承認RMM（例：フリー/個人向けツールや一時サポート系）の実行・インストールをアプリ制御（WDAC/AppLocker/SR）で拒否します。
  • RMM関連の振る舞い検知をEDRで強化します。新規RMMプロセスの親子関係（Office/アーカイバ/スクリプトからの起動）、サービス作成、永続化設定、外向き長時間セッションを相関させます。
  • “RMM新規検出＝重大インシデント”の運用定義に改め、即時隔離・ログ保全・端末再イメージの基準を作ります。

• モバイル・BYODの穴埋め

  • 業務メール/カレンダー/ファイルへのアクセスは、MAM/コンテナ経由に限定し、私用ブラウザ・QRアプリからの外部遷移を制御します。
  • 重要ユーザー（経理・人事・役員）のモバイルにMTD（モバイル脅威防御）を導入し、悪性URL/フィッシングの端末側検査を有効化します。
  • 社内掲示で“QRコードの安全な扱い方”を再教育します。ポスター・朝会・模擬演習を短期集中的に回します。

• サプライヤ・業務運用

  • 会計事務所・税務アウトソース先・給与計算ベンダに対し、(1) 認証強化（MFA種別）と(2) BEC対策（支払先変更は電話コールバック二者承認）を文書化して再確認します。
  • 税・給与関連の高額/緊急依頼は、メールのみで成立させない“決裁の二経路化”を標準にします。

• 検知・対応プレイブック（演習推奨）

  • プレイブックA：QRフィッシング→M365侵害。初動は異常サインイン/受信トレイルール検出、強制サインアウト、トークン無効化、パスワードリセット、OAuthアプリ審査、関係者通知までを2時間で完了させます。
  • プレイブックB：未承認RMM検出。端末隔離、プロセス停止、永続化痕跡の除去、ネットワーク同型事象の横展開サーチ、端末再イメージと資格情報全更新を“定型化”します。
  • 年度/四半期の繁忙期直前にテーブルトップ演習を行い、BEC/支払先変更詐欺のシミュレーションで合意形成を再確認します。

• 意識啓発（短期集中型）

  • “税・給与・還付”を題材にしたフィッシング訓練を繁忙期に合わせて実施します。訓練メールにはQRコードパターンも必ず含めます。
  • 成果は全社ポータルで即日共有し、成功/失敗例のスクリーンショットを可視化して“今週の落とし穴”として周知します。

最後に、本件は“新しい脅威”というより“既存の穴の組み合わせ”が的確に突かれた事案です。だからこそ、既存コントロールの細部（RMMの棚卸し、QRの扱い、モバイルの境界、受信トレイルール監視）を磨き込むことで、明日からの防御力を着実に底上げできるはずです。

参考情報:

• Microsoft warns IRS phishing hits 29,000 users, deploys RMM malware（The Hacker News）