フィッシング

【注意喚起】「e-Tax税務署からの【未払い税金のお知らせ】」を装ったフィッシングメール確認(2026年4月)

フィッシング確定:本記事で解析するメールは、複数の技術的証拠の複合評価によりフィッシング詐欺と確定しています。リンクへのアクセスおよび情報入力は絶対に行わないでください。

概要

2026年4月2日〜3日にかけて、国税庁の電子申告・納税システム「e-Tax」を装ったフィッシングメールの配信が確認されました。メールは「未払い税金がある」と受信者を脅し、偽サイトへ誘導する手口です。送信元ヘッダーには実在する日本企業のドメインが表示されるよう偽装されており、一見すると正規のメールに見える巧妙な作りになっています。

本記事では、メールのヘッダー情報・認証結果・誘導先ドメインの登録情報を詳細に解析し、フィッシングと判断した根拠を証拠付きで公開します。

フィッシングメール本文のスクリーンショット
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません)
フィッシングサイトのスクリーンショット
誘導先サイトのスクリーンショット(解析時点)

メール基本情報

項目 内容
件名 e-Tax税務署からの【未払い税金のお知らせ】
差出人(Fromヘッダー) e-Tax税務署からの <xtech-pickup[@]nikkeibp[.]co[.]jp>
Return-Path(実際の返送先) info[@]mail13[.]idrivespace[.]com
送信日時 2026年4月2日(木)17:25:26 UTC
使用メーラー Microsoft Outlook 16[.]77 (ja-JP)(ヘッダー申告値)
SHA256(メール原本) 33a451aa6c15d7968eb0030b80622e779528562add1fbd6b1555d8f2a4ad4334

メール本文(全文)

納付責任最終通達(未納税金)

納税確認番号:****78233
合計:1,180円
納付期限:2026年4月3日

納付義務の不履行は、資産差押等の法的措置対象となります。

【納付ページ】 国税庁公式

件名・本文ともに「未払い税金」「資産差押」「法的措置」という言葉で受信者を不安にさせ、「翌日が期限」という緊迫感を演出して即座のクリックを促しています。金額が1,180円と少額に設定されているのは、受信者が「そのくらいなら払ってしまおう」と警戒心を下げることを狙ったものと考えられます。

技術解析:フィッシングと判断した根拠

1. Fromアドレスと実際の送信インフラの不一致(確認済み)

観測事実:メールのFromヘッダーは xtech-pickup[@]nikkeibp[.]co[.]jp と表示されているが、Return-Path(メール配信エラー時の返送先)は info[@]mail13[.]idrivespace[.]com であり、全く異なるドメインが使用されています。SPF認証の結果は、Return-Pathドメイン mail13[.]idrivespace[.]com に対して「pass(合格)」でした。これは、このメールが idrivespace[.]com のインフラから送信されたことを示しています。

示唆:Fromヘッダーに表示される nikkeibp[.]co[.]jp は、一般に日本のITメディア・出版社として知られている企業のドメインです(公式サイトで確認できます)。攻撃者は、受信者が目にするFromアドレスに実在する有名企業のドメインを表示させつつ、実際の送信経路は第三者のインフラを利用するという「Fromアドレス偽装(ヘッダー詐称)」の手口を用いています。メールクライアントによっては、送信者名「e-Tax税務署からの」と有名企業ドメインの組み合わせが表示されるため、受信者を強く欺く可能性があります。

総合判断:Fromヘッダードメインと実際の送信インフラの乖離、加えて後述のDMARCの失敗と国税庁ブランドの詐称を組み合わせると、このメールは正規の国税庁または国税庁関連組織から送信されたものではないと判断されます。

2. メール認証(SPF / DKIM / DMARC)の評価(確認済み)

認証方式 結果 意味
SPF pass(条件付き) mail13[.]idrivespace[.]com の送信権限は認証されたが、これはFromヘッダーのドメインではない
DKIM permerror(恒久的検証エラー) DKIM署名の恒久的な検証エラー。署名自体が存在しない・設定不備等、原因は特定できないが正常に検証されていない
DMARC fail(失敗) SPF・DKIMいずれもFromドメイン(nikkeibp[.]co[.]jp)との整合性(アライメント)が取れなかった

技術解説:DMARCは「Fromヘッダーに表示されているドメインと、SPFまたはDKIMで認証されたドメインが一致しているか」を検証する仕組みです。今回のケースでは、SPFは idrivespace[.]com に対して合格していますが、Fromヘッダーは nikkeibp[.]co[.]jp であるため、アライメントが取れず、DMARCは失敗します。DMARCの失敗は、このメールがFromに表示されたドメインの正規の送信者によって送られたものではないことを示す重要な技術的根拠の一つです。

3. フィッシングドメインの登録情報(確認済み)

観測事実:メール内のリンクは hxxps://e-taxkeisanj[.]com/e-tax-japan に誘導しており、取得時点で稼働中でした(2ホップのリダイレクト後、hxxps://e-taxkeisanj[.]com/e-tax-japan/ に到達)。このドメインの登録情報は以下のとおりです。

項目 内容
ドメイン e-taxkeisanj[.]com
登録日 2026年4月2日(メール送信日と同日)
ドメイン年齢(取得時点) 1日
レジストラ Aceville Pte. Ltd.
ネームサーバー a[.]dnspod[.]com / b[.]dnspod[.]com / c[.]dnspod[.]com
Webサーバー nginx/1[.]28[.]2
ページソースサイズ 1,775 bytes(極めて小さい)

示唆:国税庁の電子申告システムe-Taxの公式ドメインは、一般に e-tax[.]nta[.]go[.]jp として政府ドメイン(go[.]jp)で運用されていることが広く知られています。これに対し、e-taxkeisanj[.]com は民間の .com ドメインであり、政府機関のドメインではありません。また、ドメイン年齢が「1日」という事実は、このドメインがメール配信と同日に取得されたことを強く示唆しています。正規の政府機関がドメインを取得した当日に納税通知メールを送ることは、一般的に考えにくい状況です。

総合判断:「登録日とメール送信日が一致している使い捨てドメイン」「政府ドメイン(go[.]jp)ではなく.comドメイン」「国税庁ブランドの詐称(DMARCの失敗)」という複合的な証拠から、このリンクは国税庁の正規サイトではなく、フィッシングサイトであると判断されます。

4. ドメイン名に組み込まれた偽装(確認済み)

フィッシングドメイン e-taxkeisanj[.]com は、公式ドメイン名「e-tax」をそのまま取り込みつつ、末尾に「keisanj」(計算?)という文字列を追加した構造になっています。URL全体をよく見なければ正規の「e-tax」との違いに気づきにくく、受信者の判断を鈍らせることを狙ったものと考えられます。

手口の分析:なぜこのメールは騙しやすいのか

  1. 実在する有名企業ドメインをFromに利用:受信者が見るFromアドレスに、実際に存在する日本企業のドメインが表示されます。受信者が無意識に「知っている名前のドメイン=安全」と判断してしまうことを悪用しています。
  2. 公的機関への不安を煽る文面:「資産差押」「法的措置」という言葉は、受信者の冷静な判断を奪う効果があります。
  3. 少額設定による油断の誘発:1,180円という少額を設定することで、「大した金額ではないしすぐ払おう」という心理を生み出します。
  4. 翌日期限による緊迫感:メール送信日(4月2日)から翌日(4月3日)を期限とすることで、受信者が情報を調べる時間的余裕を奪います。
  5. メーラー偽装(Outlook申告):X-Mailerヘッダーで「Microsoft Outlook 16[.]77 (ja-JP)」を申告しており、一般的なメーラーからの送信に見せかけています(ヘッダー申告値は送信者が自由に設定可能なため、信頼性はありません)。

正規サイトとの判別方法

確認ポイント 正規のe-Tax 今回のフィッシング
公式ドメイン e-tax[.]nta[.]go[.]jp(go[.]jpドメイン) e-taxkeisanj[.]com(.comドメイン)
送信元メールドメイン nta[.]go[.]jp 等の政府ドメイン nikkeibp[.]co[.]jp(IT企業ドメイン)
DMARC認証 pass fail
ドメイン年齢 長年運用されている 1日(登録直後)
お知らせの確認方法 e-Taxポータルにログインして確認できる メール内リンクのみ

このメールを受け取った場合の対処方法

  1. リンクを絶対にクリックしない:メール内のリンク(「納付ページ」)はフィッシングサイトへの誘導です。クリックしないでください。
  2. 国税庁の公式ページで直接確認する:本当に未納税金があるかどうかは、メールのリンクからではなく、ブラウザのアドレスバーに直接 e-tax[.]nta[.]go[.]jp と入力してアクセスし、自分のアカウントにログインして確認してください。
  3. 情報を入力してしまった場合:フィッシングサイトでクレジットカード番号・銀行口座情報・マイナンバー等を入力してしまった場合は、直ちにカード会社または金融機関に連絡し、利用停止の手続きを取ってください。また、国民生活センターや警察(#9110)にも相談することをお勧めします。
  4. メールを報告する:受信したフィッシングメールは、迷惑メール相談センター(hxxps://www[.]dekyo[.]or[.]jp/soudan/)またはフィッシング対策協議会(info[@]antiphishing[.]jp)に報告してください。

IOC(侵害指標)一覧

セキュリティ製品やSOCでの活用・ブロッキングのために、確認済みのIOCを公開します。

メール識別情報

IPアドレス

フィッシングURL

フィッシングドメイン

PhishTank登録状況

本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

調査メモ

本件は、証拠強度「moderate」(DMARC失敗・国税庁ブランド詐称の2件)でフィッシングと確定しています。誘導先サイトはTDS(トラフィック配信システム)またはIPベースのアクセス制御が施されている可能性があり、スクリーンショット取得には制限がありました。解析環境・手法によって表示内容が異なる場合があります。

今後も同一インフラ(idrivespace[.]com 経由、DNSPodネームサーバー使用、Aceville登録の.comドメイン)を用いた類似キャンペーンが継続する可能性があります。

検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
e-taxkeisanj.com 入口URL 稼働中 メール本文 登録: 2026-04-02 / Aceville Pte. Ltd.

本記事の情報は解析時点のものです。フィッシングサイトはすでに閉鎖されている場合があります。IOCの利用は自己責任で行ってください。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,