「【ご確認のお願い】税金の支払いが遅れています」はフィッシングメールか検証する
見出し
- 1 【検証】「【ご確認のお願い】税金の支払いが遅れています」はフィッシングメールか?
- 1.1 このメールの怪しいポイント
- 1.2 このフィッシングの手口
- 1.3 もし情報を入力してしまうと…
- 1.4 技術的な検証結果
- 1.5 メール認証結果(SPF/DKIM/DMARC)
- 1.6 送信元ドメインの検査
- 1.7 インフラ情報(ホスティング・国)
- 1.8 送信元サーバを確認します(Receivedヘッダ → 送信経路IP)
- 1.9 メール内リンクの遷移先を確認します(URL抽出+リダイレクト追跡)
- 1.10 フィッシングサイト稼働状況
- 1.11 PhishTank照合結果
- 1.12 RDAP証拠(whois相当:引用)
- 1.13 TLS証明書の整合性(引用)
- 1.14 実際の画面(スクリーンショット)
- 1.15 フィッシングメールの見分け方
- 1.16 対処方法
【検証】「【ご確認のお願い】税金の支払いが遅れています」はフィッシングメールか?
フィッシングメール(詐欺メール)が届きました。
このメールは、受信者を偽のウェブサイトに誘導し、個人情報やクレジットカード情報を盗み取ることを目的としています。
このメールは「支払い・料金請求」のパターンに該当します。「料金が未払いです」「決済に失敗しました」などと偽り、クレジットカード情報の再入力を求めます。
※この記事は、実際に届いたメール(.eml)をもとに、技術的観点から内容を検証し、証拠(ヘッダ/RDAP/TLS/リダイレクト結果)を整理したものです。
※危険回避のため、URL/ドメイン/メールアドレス/IPは hxxp(s)・[.]・[@] で難読化しています。
このメールの怪しいポイント
- フィッシングサイトが運用中:リンク先のサイトが現在も稼働しています。絶対にアクセスしないでください
- URL偽装(userinfo詐称)を検出:見た目は「dxnnfhljih[.]com」に見えますが、実際の接続先は「QRrQG[.]hbpetud[.]cn」です。URLの@より前の部分(userinfo)は無視されます。さらに、見た目が似た特殊文字(DIVISION SLASH (U+2215))を使ってスラッシュに見せかけています
- メール認証に失敗:SPF が pass ではありません。正規の送信元ではない可能性が高いです
- Cloudflareで実サーバーを隠蔽:フィッシングサイトはCloudflareを使用しており、実際のサーバーIPが特定できません
判定:重大な警告があります。フィッシング詐欺の可能性が非常に高いです。
このフィッシングの手口
このメールは「支払い・料金請求」型の非常に巧妙な手口です。
- 偽装メールの送信:「e-Tax」を名乗り、もっともらしい件名でメールを送信します。
- 緊急性を演出:「すぐに対応しないと差し押さえされる」など、焦らせる文言を使います。
- 偽サイトへ誘導:メール内のリンクをクリックさせ、本物そっくりの偽ログインページへ誘導します。
- 情報の窃取:ID・パスワード・クレジットカード情報などを入力させ、盗み取ります。
- 悪用:盗んだ情報で不正ログイン、不正購入、個人情報の転売などを行います。
今回のメールの特徴
- メール内のリンク先は「qrrqg[.]hbpetud[.]cn」など、正規のドメインではありません。
- メール認証(SPF)に失敗しており、正規の送信元ではないことが技術的に証明されています。
- URL偽装(userinfo詐称):リンクは「dxnnfhljih[.]com」に見えますが、実際の接続先は「QRrQG[.]hbpetud[.]cn」です。URLの@より前は無視される仕組みを悪用しています。
- 特殊文字によるスラッシュ偽装:見た目が通常のスラッシュ「/」に似た特殊なUnicode文字を使い、パスの区切りに見せかけています。
【技術解説】URL偽装の仕組み
URLはRFC 3986で定義されており、以下の構造を持っています:
|
1 |
scheme://[userinfo@]host/path?query#fragment |
@より左側は「ユーザー情報(userinfo)」→ ブラウザは認証情報として扱い、接続先には影響しない@より右側が「ホスト名」→ 実際の接続先
例:
|
1 |
https://www.example.jp@malicious.cn/path |
- 見た目:「www.example.jp」のサイトに見える
- 実際の接続先:
malicious.cn(攻撃者のサーバー)
さらに巧妙な手口として、通常のスラッシュ「/」(U+002F) の代わりに、見た目がよく似た別のUnicode文字を使うことがあります:
∕DIVISION SLASH (U+2215)⁄FRACTION SLASH (U+2044)/FULLWIDTH SOLIDUS (U+FF0F)
これにより、URLがパス区切りを含む通常のURLに見えますが、実際にはすべて userinfo の一部として扱われ、無視されます。
もし情報を入力してしまうと…
このフィッシングサイトで情報を入力してしまった場合、以下のような被害が想定されます。
- アカウントが乗っ取られる
- 個人情報が流出する
- 金銭的な被害を受ける
- すぐにパスワードを変更してください(使い回している他サービスも含めて)
- クレジットカード情報を入力した場合は、カード会社に連絡して利用停止してください
- 不正利用がないか、明細を確認してください
技術的な検証結果
以下では、実際に届いたメールのヘッダ情報・認証結果・リンク先の調査結果など、技術的な証拠を詳しく解説します。
受信したメールの概要
- 件名:【ご確認のお願い】税金の支払いが遅れています
- 受信日時(ヘッダ):Wed, 07 Jan 2026 09:48:57 +0900
- 表示上の差出人:e-Tax <motohashirisa[@]mdots[.]net>
- Return-Path:<motohashirisa[@]mdots[.]net>
メール本文(原文:難読化)
クリックで本文を表示
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
【e-Tax】税金未納に関する重要なお知らせ e-Taxをご利用いただき、誠にありがとうございます。 下記の日付に関して、所得税または延滞金(法律に基づき算出されたもの)のお支払いが確認できておりません。 これまで自主的な納付をお願いしてまいりましたが、現時点で未納の状態が継続しております。 このまま最終期限までに納付がない場合、不動産・自動車等の登録財産や給与・売掛金等の債権に対する差押処分が実施される可能性がございます。 納付期限:2025年11月20日 最終期限:2025年12月30日(※延長不可) お支払いへ進む ※ 本メールは、【e-Tax】国税電子申告・納税システムにご登録いただいた方へ配信しております。このメールアドレスは送信専用のため、ご返信には対応しておりません。 ご不明な点がございましたら、以下までお問い合わせください。カスタマーサポート:メールアドレス:info[@]ntago[.]jp電話番号:03-6680-3000国税庁〒100-8978 東京都千代田区霞が関3-1-1法人番号:7000012050002Copyright © TAX AGENCY All Rights Reserved.このメールは自動生成されたものです。ご返信には対応しておりません。 |
メール認証結果(SPF/DKIM/DMARC)
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | NONE | 送信元IPがドメインの許可リストに含まれていません(偽装の可能性) |
- smtp.mailfrom:
motohashirisa
受信側の補足:mx.google.com; spf=none (google.com: motohashirisa@mdots.net does not designate permitted sender hosts) smtp.mailfrom=motohashirisa@mdots.ne…
送信元ドメインの検査
メールの送信に使用されたドメイン(From / Return-Path)を調査しました。
mdots[.]net(From / Return-Path)
| 登録日 | 2003-06-03(8253日前) |
| ネームサーバー | JACK[.]NS[.]CLOUDFLARE[.]COM, PAM[.]NS[.]CLOUDFLARE[.]COM |
| ステータス | client transfer prohibited |
インフラ情報(ホスティング・国)
送信元サーバー
| IP | 国 | 事業者 | 備考 |
|---|---|---|---|
163[.]44[.]89[.]78 |
日本 | Japan Network Information Center |
フィッシングサイト
| IP | 国 | 事業者 | 備考 |
|---|---|---|---|
172[.]67[.]173[.]83 |
不明 | Cloudflare | Cloudflareを使用しており、実際のサーバーIPが隠蔽されています |
104[.]21[.]88[.]63 |
不明 | Cloudflare | Cloudflareを使用しており、実際のサーバーIPが隠蔽されています |
2606:4700:3030::ac43:ad53 |
不明 | Cloudflare | Cloudflareを使用しており、実際のサーバーIPが隠蔽されています |
2606:4700:3034::6815:583f |
不明 | Cloudflare | Cloudflareを使用しており、実際のサーバーIPが隠蔽されています |
送信元サーバを確認します(Receivedヘッダ → 送信経路IP)
送信元候補IP: 163[.]44[.]89[.]78 / 国: 日本
163[.]44[.]89[.]78(送信元候補)220[.]187[.]127[.]182
※ここは「メールの送信経路上で観測されたIP」です。リンク先サーバのIPとは別です。
メール内リンクの遷移先を確認します(URL抽出+リダイレクト追跡)
リンク
抽出URL:hxxps://dxnnfhljih[.]com[/]FiLJVV[/]dJNal[/]ICpgZyWUi[/]uveCoUSUS[/]gSTciAbIl[@]QRrQG[.]hbpetud[.]cn
dxnnfhljih[.]com」ですが、 実際の接続先は「QRrQG[.]hbpetud[.]cn」です。 ※ 見た目が似た特殊文字(DIVISION SLASH (U+2215))でスラッシュを偽装しています
実際の接続先URL:hxxps://QRrQG[.]hbpetud[.]cn
最終URL:hxxps://dxnnfhljih[.]com[/]FiLJVV[/]dJNal[/]ICpgZyWUi[/]uveCoUSUS[/]gSTciAbIl[@]QRrQG[.]hbpetud[.]cn
調査対象URL(フィッシングサイト):hxxps://QRrQG[.]hbpetud[.]cn
注記:userinfo_spoofing
遷移先サイトの解決IP(DNS)
172[.]67[.]173[.]83104[.]21[.]88[.]632606:4700:3030::ac43:ad532606:4700:3034::6815:583f
※ここは「メール内リンクの遷移先(サイト側)」の情報です。送信元IP(Received)とは別です。
フィッシングサイト稼働状況
※解析時点でのステータスです。フィッシングサイトは短期間でテイクダウンされることがあります。
| URL | ステータス | 詳細 |
|---|---|---|
QRrQG[.]hbpetud[.]cn |
運用中 (HTTP 200) | 運用中(要注意:フィッシングサイトが稼働しています) |
QRrQG[.]hbpetud[.]cn |
運用中 (HTTP 200) | 運用中(要注意:フィッシングサイトが稼働しています) |
PhishTank照合結果
PhishTankは、Cisco Talos Intelligence Groupが運営するフィッシングサイトの報告・検証データベースです。メール内のURLをPhishTankと照合した結果を表示します。
照合したURLはPhishTankに登録されていませんでした。ただし、未登録であってもフィッシングサイトである可能性は否定できません。新しいフィッシングサイトは登録されるまでに時間がかかることがあります。
| 照合URL | 結果 | 報告状況 |
|---|---|---|
hxxps://QRrQG[.]hbpetud[.]cn |
未登録 | ✓ CCSIで報告済み |
hxxps://dxnnfhljih[.]com[/]FiLJVV[/]dJNal[/]ICpgZyWUi[/]uveCoUSUS[/]gSTciAbIl[@]QRrQG[.]hbpetud[.]cn |
未登録 | ✓ CCSIで報告済み |
hxxps://QRrQG[.]hbpetud[.]cn/ |
未登録 | ✓ CCSIで報告済み |
このフィッシングURLは、CCSIからPhishTankに報告済みです。 コミュニティによる検証後、データベースに登録されます。
照合日時: 2026-01-07T02:01:09+00:00 (UTC)
RDAP証拠(whois相当:引用)
※この証拠が示す意味:登録日が直近・海外レジストラ・NSが無関係などが重なるほど、なりすまし(フィッシング)である蓋然性が上がります。
※以下はRDAPレスポンスから 再現性のある要点 を固定形式で抜粋したものです。
ドメイン(登録情報)
(ドメインのRDAP情報は取得できませんでした)
IPアドレス(割り当て/組織/国)
TLS証明書の整合性(引用)
※危険回避のため、ドメイン/IPは [.] 形式で難読化して掲載しています。
実際の画面(スクリーンショット)
※安全のため、スクリーンショットは 隔離された検証環境 で取得したもののみ掲載します。
※対象候補ドメイン:qrrqg[.]hbpetud[.]cn
(スクショ差し込み待ち)
- [ ] 偽ログイン画面のスクショ
- [ ] 入力フォーム(要求情報)のスクショ
- [ ] 可能なら遷移のスクショ(1枚)
フィッシングメールの見分け方
以下のポイントをチェックすることで、フィッシングメールを見分けることができます。
| チェックポイント | 正規メール | フィッシング |
|---|---|---|
| 送信元アドレス | 公式ドメイン | 似ているが違うドメイン |
| リンク先URL | 公式サイト | 全く違うドメイン |
| 文面の日本語 | 自然な文章 | 機械翻訳のような不自然さ |
| 緊急性の演出 | 冷静な案内 | 「24時間以内」など焦らせる |
| 宛名 | 氏名で呼びかけ | 「お客様」など汎用的 |
今回のメールで確認できる不審点
- 不審なリンク先:「qrrqg[.]hbpetud[.]cn」は正規のドメインではありません
- メール認証の失敗:SPF認証に失敗しており、正規の送信サーバーからではありません
被害に遭った場合の相談窓口
- 警察庁 サイバー犯罪相談窓口:各都道府県警察のサイバー犯罪相談窓口へ
- 消費者ホットライン:188(いやや)
- フィッシング対策協議会:https://www.antiphishing.jp/
対処方法
- メール内リンクはクリックしない
- 公式アプリ/公式サイト(ブックマーク)から直接ログインして状況確認
- ID・パスワードを入力した場合は、直ちにパスワード変更(使い回しも含めて)
- カード情報を入力した場合は、カード会社へ連絡し利用停止・調査
- 不安なら、同様の連絡が公式にも出ているか(公式お知らせ/サポート)を確認
※解析メモ:.emlのSHA-256 = b2d4fff8f9a421f12d802b7a1fe921aaf60353a863fbce948c776592b94bc7fd
関連記事
NEW 「【公式通達】税金のお支払いについて」はフィッシングメールか検証する
NEW 飯田信用金庫 信用金庫騙るフィッシング詐欺に警告 新手口「2026年…
NEW 「【重要なお知らせ】資産評価額達成確認済み|5,200ポイントを今す…
NEW 【検証】「信用金庫ご利用様限定! 2026年超大型抽選会(Apple…
NEW 「【期限間近】JALマイルのご案内」はフィッシングメールか検証する
NEW 「ご愛顧に感謝を込めて、ジャンボ宝くじ22枚を無料で贈呈中」はフィッ…
NEW 【検証】セゾンカードを装ったメール「【セゾンカード】利用に関するセキ…
NEW 【検証】Pairsを装ったメール「【重要】PAIRSメンバーシップ更…
NEW 【検証】Amazonを装ったメール「【重要】Amazon Music…
NEW 【検証】件名「【セキュリティ対策】不正利用防止のため速やかな対応をお…
NEW 【検証】Amazonを装ったメール「【重要】会費請求エラーとお支払い…
NEW 【検証】Appleを装ったメール「【重要】サブスクリプション更新のお…
NEW 【検証】Pairsを装ったメール「【Pairs公式】年間感謝祭 特 …
2025年11月、特殊詐欺・フィッシング詐欺の最新動向:PayPay…
フィッシング詐欺の手口と対策に関して、朝日新聞の取材を受けました
標的型攻撃メール訓練、KPI設定に新指針か 縁マーケティング研究所が無料ガイド公開
「【まもなく更新予定】継続購入のご確認と停止の手順」はフィッシングメールか検証する