⚠ このメールはフィッシング詐欺です(確定)
| 受信日時 | 2026年5月19日 10:44(JST) |
| 詐称ブランド | 国税庁 |
| 差出人 | 国税庁 徴収課(自動配信)<NTA-2[電話番号]21892[@]vsaolose[.]1di2mtt[.]shop> |
| 手口 | 未納税額99,172円の最終催告を装い、24時間以内の納付を要求。偽サイトへ誘導 |
| 誘導先 | .shopドメインの偽サイト(2段階リダイレクト経由・稼働中) |
受信メール全文
見出し
以下は受信されたフィッシングメールの本文全文です。件名やメール本文で検索された方の参照用として掲載しています。メール内のリンクは絶対にクリックしないでください。
国 税 庁 National Tax Agency ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 最 終 催 告 】 拝啓 国税庁税務管理システムによる最終確認の結果、貴殿の納税者記録において、未納税額 99,172円 が長期間にわたり納付されておらず、これまでに発出した督促状ならびに催告状をすべてご確認いただいているにもかかわらず、本日時点において納付の確認が取れておりません。 このまま放置された場合、国税通則法第47条に基づき、貴殿の預貯金口座の凍結、給与債権の差押え、ならびに不動産等の公売措置が順次執行されます。これらの滞納処分は貴殿の信用情報に回復困難な損害を及ぼし、将来的な融資審査、クレジットカードの利用、賃貸契約の締結等、日常生活の広範にわたって深刻な支障を生じさせるものです。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ※ 警 告 ※ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ つきましては、本通知を最後の催告といたします。本通知が貴殿の受信トレイに到達した時点より24時間以内に、下記リンクより未納税額ならびに延滞金の合計額をご確認のうえ、オンライン納付手続きを必ず完了してください。なお、本期限はシステム上自動管理されており、延長は一切認められません。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼ オンライン納付手続き hxxps://NTA-0eace472d2954fbfbce0b795db1c1ee3[.]a1vmo8m[.]shop/NTA-9b79042f94f64ffcb48e1d5db05c12bb ※本リンクは単回有効・転送不可 所定の期限内に完納が確認されなかった場合、異議申立の機会を待たず、国税通則法に基づく滞納処分を執行いたします。これにより、給与・預貯金等の差押え、ならびに不動産公売手続が開始されますので、あらかじめご承知おきください。 本件に関するお問い合わせは、所轄税務署徴収課まで書面にてご連絡願います。なお、本通知は国税庁に登録された貴殿のメールアドレス宛てに、個別に送信されております。 敬具 国 税 庁 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 本メールは国税庁税務管理システムより自動送信されております。 このアドレスは送信専用です。返信によるお問い合わせには 対応いたしかねますのでご了承ください。
このメールがフィッシングである理由(総合判断)
本メールは、以下の複数の独立した証拠を総合的に評価し、フィッシング詐欺であることが確定しています。単一の指標ではなく、技術・内容・インフラの全方面から一致してフィッシングの特徴を示しています。
| 証拠カテゴリ | 観測事実 | 示唆される意味 |
|---|---|---|
| 送信元ドメイン | From/Return-Pathのドメインがvsaolose[.]1di2mtt[.]shop | 国税庁の正規ドメイン(一般にnta[.]go[.]jpとして知られている)とは完全に異なる不正ドメイン |
| メーラー情報 | X-Mailerが「Rakuten Mail 21[.]78[.]3529」 | 政府機関が個人向けウェブメールサービスから公式通知を送信する運用は一般的に考えにくい |
| 送信インフラ | 送信元IPがGENERAL COMMUNICATION, INC.所属(66[.]223[.]136[.]10) | 国税庁の正規インフラではない海外ホスティング事業者からの送信 |
| 誘導先URL | リンク先が.shopドメイン、2回のリダイレクトを経由 | 国税庁の電子申告システム(一般にe-Taxとして知られている)とは無関係な偽サイトへの誘導 |
| 誘導先ページ | ページタイトルが「Order Loading…」 | 税金の納付手続きページとして不自然なタイトル |
| ブランド詐称 | 表示名を「国税庁 徴収課(自動配信)」に偽装 | 正規組織を騙ることで受信者の警戒を解く手口 |
このメールの巧妙な手口
1. 認証をすべて通過する送信インフラ
本メールはSPF・DKIM・DMARCの3認証すべてでpass(合格)を獲得しています。これは一見すると「正規のメールである証拠」のように思えますが、実態は異なります。
観測事実:SPF、DKIM、DMARCのすべてがpassであり、smtp[.]mailfromはNTA-2[電話番号]21892[@]vsaolose[.]1di2mtt[.]shopです。
技術的な意味:これらの認証は「メールが本当にそのドメインから送られたか」を検証する仕組みです。攻撃者が自身の所有するvsaolose[.]1di2mtt[.]shopのDNSにSPFレコード、DKIM公開鍵、DMARCポリシーを正しく設定した場合、認証はすべてpassになります。つまり、このメールは「vsaolose[.]1di2mtt[.]shopから正規に送信された」ことは事実ですが、そのドメイン自体が国税庁とは無関係な不正ドメインなのです。
読者への注意:「認証がpassだから安全」という判断は危険です。メール認証は送信ドメインの正当性を検証するものであり、そのドメインが詐称ブランドと一致するかは別の問題です。メールの安全性を判断する際は、表示名ではなく、メールアドレスの@以降のドメインが正規のもの(国税庁の場合は一般にnta[.]go[.]jp)であるかを確認してください。
2. 法的用語と具体的金額による心理的圧迫
メール本文には「国税通則法第47条」という実在の法律条文の引用、「預貯金口座の凍結」「給与債権の差押え」「不動産等の公売措置」といった具体的な法的措置への言及、「信用情報に回復困難な損害」という将来への脅迫、さらに「99,172円」という端数のある金額が含まれています。これらは受信者に「本物かもしれない」と思わせ、冷静な判断を妨げるための手口です。
3. 24時間の期限と「単回有効」の虚偽表示
メール本文に「24時間以内」の支払い期限を設け、「※本リンクは単回有効・転送不可」と記載することで、受信者に以下の心理的圧力をかけています。
- 期限内に行動しなければ取り返しがつかないという焦り
- 他の人(家族や専門家)に相談する余裕を与えない
- リンクを転送して第三者に確認してもらうことを抑止
一般に、国税庁は公式サイトにおいてメールによる納税督促や差押え予告を行わない旨を繰り返し注意喚起しています。正規の滞納処分手続きは書面(郵送)で行われ、メール内のリンクから即時支払いを求めることはありません。
技術解析
送信元ドメインの分析
| 項目 | 値 |
|---|---|
| Fromアドレス | NTA-2[電話番号]21892[@]vsaolose[.]1di2mtt[.]shop |
| Return-Path | NTA-2[電話番号]21892[@]vsaolose[.]1di2mtt[.]shop |
| 正規ドメイン(参考) | nta[.]go[.]jp(国税庁の公式サイトで確認できる) |
観測事実:FromおよびReturn-Pathのドメインはvsaolose[.]1di2mtt[.]shopであり、FromとReturn-Pathが一致しています。
示唆:.shopはジェネリックTLD(gTLD)であり、日本の政府機関が使用する.go[.]jpドメインとは異なります。一般に、政府機関の公式メールは属性型JPドメイン(go[.]jp)から送信されます。また、メールアドレスのローカルパート(@の前)に「NTA-」というプレフィックスを付与することで、国税庁(National Tax Agency)を連想させる構成になっています。
メール認証(SPF/DKIM/DMARC)の分析
| 認証 | 結果 | 意味 |
|---|---|---|
| SPF | pass | 送信元IP(66[.]223[.]136[.]10)がvsaolose[.]1di2mtt[.]shopのSPFレコードで許可されている |
| DKIM | pass | vsaolose[.]1di2mtt[.]shopの鍵で署名されたDKIM署名が正しく検証された |
| DMARC | pass | SPFまたはDKIMの認証ドメインがFromドメインと一致し、DMARCポリシーを満たした |
重要:認証pass=安全 ではありません
SPF・DKIM・DMARCはメールが「どのドメインから送られたか」を検証する仕組みです。攻撃者が自分のドメイン(vsaolose[.]1di2mtt[.]shop)のDNSに適切な認証レコードを設定すれば、すべてpassになります。認証が通過しても、そのドメイン自体が正規ブランドのものでなければ、フィッシングメールです。
メーラー情報の分析
| 項目 | 値 |
|---|---|
| X-Mailer | Rakuten Mail 21[.]78[.]3529 |
| Content-Type charset | utf-8 |
| Subject encoding | utf-8 |
観測事実:X-Mailerヘッダに個人向けウェブメールサービス「Rakuten Mail」のバージョン情報が記録されています。
示唆:政府機関が公式の督促通知を個人向けウェブメールサービス経由で送信する運用は一般的に想定されません。国税庁のような大規模行政機関は、一般に専用のメール配信システムを使用します。この不一致は、本メールが公式の行政通知ではないことを示唆する補助的な指標です。
送信インフラの分析
| 項目 | 値 |
|---|---|
| 送信元IP | 66[.]223[.]136[.]10 |
| 組織 | GENERAL COMMUNICATION, INC. |
| CIDR | 66[.]223[.]128[.]0/17 |
観測事実:送信元IPアドレスはGENERAL COMMUNICATION, INC.が管理するネットワーク帯域に属しています。
示唆:日本の行政機関は一般に国内の政府系ネットワークインフラから通信を行います。海外のホスティング事業者のIPアドレスから国税庁の公式通知が送信されることは、通常の運用として考えにくい状況です。
URL・リダイレクトチェーンの分析
メール本文に含まれるリンクは以下のリダイレクトチェーンを経由して最終的な誘導先に到達します。
| 段階 | URL / ドメイン | 備考 |
|---|---|---|
| 1. メール本文のリンク | hxxps://NTA-0eace472d2954fbfbce0b795db1c1ee3[.]a1vmo8m[.]shop/NTA-9b79042f94f64ffcb48e1d5db05c12bb | 受信者固有のトラッキングID付き |
| 2. リダイレクト(2 hop) | ― | 中間リダイレクト |
| 3. 最終誘導先 | hxxps://zrstqzd[.]shop/NTA | 稼働中(確認済み) |
観測事実:初期URLのサブドメイン部分に「NTA-」プレフィックスと32文字の16進数文字列(0eace472d2954fbfbce0b795db1c1ee3)が含まれています。パス部分にも同様の構造(NTA-9b79042f94f64ffcb48e1d5db05c12bb)が見られます。ドメインはいずれも.shopのgTLDです。
示唆:URLの構造から、以下の特徴が読み取れます。
- 受信者追跡:サブドメインとパスの両方に固有IDが含まれており、どの受信者がリンクをクリックしたかを追跡できる構造です
- TDS(Traffic Distribution System)の使用:2段階のリダイレクトは、一般にアクセス元のIPアドレスや地域に応じて異なるページに振り分けるTDSの特徴と一致します。セキュリティ研究者のアクセスを検知してブロックする目的で使われることがあります
- 使い捨てドメイン:a1vmo8m[.]shopおよびzrstqzd[.]shopのようなランダム文字列のドメインは、短期間で使い捨てられるフィッシングインフラの典型的な特徴です
国税庁の電子申告・納税システム「e-Tax」は、一般にnta[.]go[.]jpドメイン上で運用されていることが公式サイトで確認できます。.shopドメインから税務手続きが行われることはありません。
誘導先ページの分析
| 項目 | 値 |
|---|---|
| 最終URL | hxxps://zrstqzd[.]shop/NTA |
| ページタイトル | Order Loading… |
| サーバー | cloudflare |
| ソースサイズ | 4,274 bytes |
観測事実:最終誘導先のページタイトルは「Order Loading…」であり、ソースサイズはわずか4,274バイトです。サーバーヘッダはcloudflareを示しています。
示唆:税金の納付手続きページとして「Order Loading…」というタイトルは明らかに不自然です。4,274バイトという極めて小さなソースサイズは、ローディング画面やさらなるリダイレクトを行う最小限のHTMLページであることを示唆します。また、Cloudflareをリバースプロキシとして利用することで、実際のサーバーのIPアドレスを秘匿しています。
IOC(侵害指標)一覧
以下のIOC(Indicators of Compromise)は、同種の攻撃の検知・ブロックに活用できます。ファイアウォールやメールフィルタへの登録を推奨します。
| 種別 | 値 | 備考 |
|---|---|---|
| 送信元ドメイン | vsaolose[.]1di2mtt[.]shop | From / Return-Path |
| 送信元メールアドレス | NTA-2[電話番号]21892[@]vsaolose[.]1di2mtt[.]shop | 電話番号部分は伏字 |
| 送信元IP | 66[.]223[.]136[.]10 | GENERAL COMMUNICATION, INC. / 66[.]223[.]128[.]0/17 |
| フィッシングURL(初期) | hxxps://NTA-0eace472d2954fbfbce0b795db1c1ee3[.]a1vmo8m[.]shop/NTA-9b79042f94f64ffcb48e1d5db05c12bb | 稼働中 |
| フィッシングURL(最終) | hxxps://zrstqzd[.]shop/NTA | 稼働中 / Cloudflare |
| 中継ドメイン | a1vmo8m[.]shop | リダイレクト元 |
| 最終誘導先ドメイン | zrstqzd[.]shop | 最終到達先 |
| SHA256(EMLファイル) | 24da0afb2b320cc39aae76453a1ff962a38ba200995d[電話番号]c06b5add83 | 電話番号部分は伏字 |
PhishTank登録状況
| URL | 状態 |
|---|---|
| hxxps://NTA-0eace472d2954fbfbce0b795db1c1ee3[.]a1vmo8m[.]shop/NTA-9b79042f94f64ffcb48e1d5db05c12bb | 未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処
絶対にやってはいけないこと
- メール内のリンクをクリックしない ― リンク先は国税庁とは無関係なフィッシングサイトです。クリックするだけでアクセスが追跡される可能性があります
- 個人情報や支払い情報を入力しない ― 誘導先サイトで入力した情報はすべて攻撃者に渡ります
- メールに返信しない ― 返信することでメールアドレスが有効であることを攻撃者に確認させてしまいます
すぐに行うべきこと
- メールを削除またはスパム報告する ― ご利用のメールサービスのスパム報告機能を使用してください
- 不安な場合は公式ルートで確認する ― 税金の未納に心当たりがある場合は、国税庁の公式サイト(一般にnta[.]go[.]jpとして知られている)から直接アクセスするか、最寄りの税務署に電話で確認してください。メール内のリンクからは絶対にアクセスしないでください
- 周囲に注意喚起する ― 同様のメールが家族や同僚にも届いている可能性があります
既にリンクをクリックしてしまった場合
- 情報を入力した場合は、直ちにクレジットカード会社や銀行に連絡し、該当する取引の停止を依頼してください
- パスワードを入力した場合は、同じパスワードを使用しているすべてのサービスのパスワードを速やかに変更してください
- 最寄りの警察署または警察庁サイバー犯罪相談窓口に被害を届け出てください
- 国民生活センター(消費者ホットライン:188)でも相談を受け付けています
見分けるポイントまとめ
| チェック項目 | 本メールの場合 | 正規の場合 |
|---|---|---|
| 送信元ドメイン | vsaolose[.]1di2mtt[.]shop | 一般にnta[.]go[.]jpが使用される |
| リンク先ドメイン | a1vmo8m[.]shop → zrstqzd[.]shop | 一般にnta[.]go[.]jp配下のe-Tax |
| メールでの納税督促 | メールで最終催告・即時支払い要求 | 国税庁はメールで納税督促を行わない旨を公式に注意喚起 |
| 期限の設定 | 24時間以内・延長不可 | 正規の滞納処分は法的手続きに基づき、書面で猶予期間を明示 |
| X-Mailer | Rakuten Mail(個人向けウェブメール) | 政府機関の公式メール配信システム |