公開日: 2026年5月11日
脅威分類: フィッシング詐欺(確定)
なりすまし対象: 日本年金機構
証拠強度: moderate(独立した証拠3件)
検体SHA256: eb32983df123d622488d36517561088048baf1fece2fc1206956dbf7198c174e
概要
2026年5月9日頃より、日本年金機構を装い「国民年金保険料の未納に伴う財産差押えの執行予告」と称するフィッシングメールの配信が確認されています。
このメールは、国民年金保険料の未納を理由に「財産の差押えを執行する」と脅迫し、わずか2日後の期限を設けたうえで「PayPay即時決済」による支払いへ誘導するものです。メール内のリンクをクリックすると、TDS(Traffic Direction System=アクセスごとに異なるサイトへ振り分ける仕組み)を経由し、QRコード決済を促す詐欺ページへリダイレクトされます。
日本年金機構がメールで差押えの最終通告を行うことはありません。また、PayPayによる年金保険料の緊急納付窓口も存在しません。このメールを受信した場合は、リンクをクリックせず直ちに削除してください。
メールの全文
以下は実際に配信されたフィッシングメールの全文です。同じメールを受信した方が照合できるよう、原文のまま引用しています(URL部分のみ安全のため難読化しています)。
| 件名 | 【至急】 国民年金保険料の未納に伴う財産差押えの執行予告 |
| 差出人 | 日本年金(自動通知) <kokunai-ngo[@]hei[.]hankyu[.]co[.]jp> |
| Return-Path | <nen[@]mail9[.]achaowangluo[.]com> |
| 送信日時 | 2026年5月9日(土) 20:21:43 UTC |
————————————————– 本メールは行政手続法に基づき、未納記録がある方へ 徴収管理事務センターより自動配信されています。 ————————————————– 拝啓 時下ますますご清栄のこととお慶び申し上げます。 日頃より国民年金制度へのご理解、ご協力に感謝 申し上げます。 さて、貴殿の国民年金保険料につきましては、 これまで再三にわたり催告を行ってまいりましたが、 残念ながら本日現在も納付の確認が取れておりません。 本通知は、国民年金法第96条および国税徴収法 第47条の規定に基づく「最終通告」であり、 これ以降の猶予は一切ございません。 下記の【最終納付期限】までに全額の納付が 確認できない場合、予告なく貴殿の財産 (預貯金、給与、不动产、自動車、有価証券等) の差押えを執行いたします。 ■ 差押執行の予告内容 ━━━━━━━━━━━━━━━━━━━━━━━━━━ 【最終納付期限】 2026年5月11日(月) 23:59 【合計納付額】 26,300円 ━━━━━━━━━━━━━━━━━━━━━━━━━━ ※差押えが実行された場合、信用情報機関に事故 情報(ブラックリスト)が登録され、今後数年 間はローンの契約やクレジットカードの作成・ 利用が一切不可能となります。 ■ お支払い方法 現在、デジタル庁指針に基づく行政手続きの デジタル化およびシステム維持管理に伴い、 利便性の高い「PayPay即時決済」による 緊急纳付窓口を開設しております。 差押手続きの停止を希望される場合は、期限内に 下記専用URLよりお手続きを完了させてください。 ▼PayPay決済お手続き窓口(24時間対応) hxxps://feldbusinessgrowth[.]com ※お手続き完了後、システムにより差押手続きは 即座に自動解除されます。 ※経済的な理由等で納付が困難な場合は、至急 下記の窓口までご連絡ください。 【お問い合わせ先】 日本年金機構 徴収管理事務センター ナビダイヤル:[電話番号] 受付時間:平日 8:30~17:15 日本年金機構 理事長 ————————————————– ※本メールは送信専用のため、返信は受け付けて おりません。 ※本案内は日本の個人情報保護法および国民年金法 に基づき送信されています。 ————————————————–
フィッシング詐欺と判断する複合的根拠
このメールが詐欺であるという判断は、単一の証拠ではなく、以下の複数の独立した証拠を総合して導いたものです。
根拠1:メール認証結果の総合判定
| 認証項目 | 結果 | 意味 |
|---|---|---|
| SPF | softfail | 送信元IPが、smtp[.]mailfromドメインのSPFレコードで明示的に許可されていない |
| DKIM | pass | メールの電子署名検証に成功(送信途中での改ざんなし) |
| DMARC | fail | Fromヘッダのドメインと認証済みドメインの整合性がない |
【観測事実】 SPFはsoftfail、DKIMはpass、DMARCはfailです。smtp[.]mailfromのドメインは achaowangluo[.]com であり、Fromヘッダのドメイン hei[.]hankyu[.]co[.]jp とは異なります。
【示唆】 DKIMがpassしているのは、メールの電子署名自体が正しく検証されたことを意味しますが、それだけでは差出人が正規であることを証明しません。DMARCは「Fromヘッダに表示されるドメイン」と「SPFまたはDKIM認証で確認されたドメイン」の一致(アライメント)を検証する仕組みです。今回DMARCがfailしたことは、表示上の差出人ドメインと実際の認証ドメインが一致していないことを示しています。
【総合判断】 SPFのsoftfailとDMARCのfailが同時に発生しており、Fromヘッダに表示されたドメインと実際の送信インフラが異なることが確認されています。これは送信元偽装の典型的なパターンです。
根拠2:差出人アドレスの偽装
【観測事実】 Fromヘッダの差出人は kokunai-ngo[@]hei[.]hankyu[.]co[.]jp と表示されていますが、Return-Path(実際のメール送信元を示すエンベロープ情報)は nen[@]mail9[.]achaowangluo[.]com です。
【示唆】 hankyu[.]co[.]jp は一般に阪急阪神ホールディングスグループの関連ドメインとして知られており、日本年金機構とは無関係です。一方、日本年金機構の公式ドメインは一般に nenkin[.]go[.]jp(go[.]jp は日本の政府機関用ドメイン)として知られています。Fromヘッダには年金機構の正規ドメインでも、年金機構に関連するドメインでもないアドレスが設定されています。
【総合判断】 Fromヘッダとreturn-Pathのドメインが完全に異なり、かつどちらも日本年金機構の正規ドメインではありません。表示名を「日本年金(自動通知)」と偽装し、受信者の注意を表示名のみに向けさせる手口です。
根拠3:送信元IPアドレスの調査
【観測事実】 このメールの送信元IPアドレスは 34[.]95[.]134[.]226(CIDR: 34[.]64[.]0[.]0/10)であり、RDAP(Registration Data Access Protocol)によるWhois情報ではGoogle LLC(クラウドインフラ事業者)に帰属するアドレス帯です。
【示唆】 日本年金機構のような政府関連機関は、一般的にクラウドの汎用IPアドレスからメールを送信するのではなく、自組織に帰属する専用の送信インフラを利用します。Google Cloud Platformの汎用IPアドレスから年金機構名義のメールが送信されていること自体が不自然です。
根拠4:メール本文中に混入した簡体字
【観測事実】 メール本文中に、日本語では使用しない簡体字(中国語の簡略化された漢字)が2箇所混入しています。
| 本文中の表記 | 正しい日本語表記 | 混入した文字 |
|---|---|---|
| 不动产 | 不動産 | 动(U+52A8)= 動の簡体字 |
| 緊急纳付 | 緊急納付 | 纳(U+7EB3)= 納の簡体字 |
【示唆】 日本年金機構が発行する公式文書において、簡体字が混入することはあり得ません。これらの文字の混入は、このメールの作成者が日本語の正字体(繁体字・日本の常用漢字)ではなく簡体字を日常的に使用する環境にある可能性を示唆するものです。
誘導先URLの解析
リダイレクトチェーンとTDS(Traffic Direction System)の検出
【観測事実】 メール本文中に記載された「PayPay決済お手続き窓口」のURLは hxxps://feldbusinessgrowth[.]com です。このURLにアクセスすると、2回のリダイレクト(ホップ)を経て hxxps://qr-topaydayno8[.]com/ に到達することが確認されました。また、このリダイレクト構造にはTDS(Traffic Direction System)の特徴が検出されています。
【TDSとは?】 TDSとは、アクセスしてきた訪問者のIPアドレス・地域・端末・ブラウザ等の情報をもとに、異なるWebサイトへ自動的に振り分ける仕組みです。フィッシング攻撃では以下の目的で悪用されます。
- セキュリティ調査者を無害なサイトに誘導し、詐欺ページの発見を遅らせる
- ターゲットの地域・言語に合った詐欺ページを表示する
- 複数のドメインに分散することで、1つがブロックされても攻撃を継続する
今回の解析ではリダイレクト先として qr-topaydayno8[.]com が1種類観測されていますが、TDSの性質上、アクセスするタイミングや環境によって異なるドメインに誘導される可能性があります。
最終リダイレクト先の調査
| URL | hxxps://qr-topaydayno8[.]com/ |
| ページタイトル | スマートフォンでQRコードを読み取ってください |
| Webサーバー | nginx |
| HTMLソースサイズ | 1,022 bytes |
| 稼働状態 | 稼働中(確認済み) |
【示唆】 ページタイトルが「スマートフォンでQRコードを読み取ってください」となっており、QRコードを表示してスマートフォンで読み取らせる手口であることが分かります。HTMLソースサイズが1,022 bytesと極めて小さく、QRコード画像の表示のみに特化した簡素なページであると考えられます。PayPayをはじめとするQRコード決済サービスでは、QRコードを読み取ると支払い画面に遷移するため、読み取り先は攻撃者の口座への送金ページである可能性が高いと考えられます。
誘導先ドメインの登録情報
| ドメイン | feldbusinessgrowth[.]com |
| レジストラ | Gname[.]com Pte. Ltd. |
| 登録日 | 2024年7月12日 |
| ドメイン年齢 | 668日 |
| ネームサーバー | lou[.]ns[.]cloudflare[.]comlucy[.]ns[.]cloudflare[.]com |
【示唆】 ドメイン名 feldbusinessgrowth[.]com は日本年金機構との関連性が一切ないビジネス用語の英単語で構成されています。レジストラの「Gname[.]com Pte. Ltd.」はシンガポール法人(Pte. Ltd.はシンガポールの私企業形態を示す)のドメイン登録事業者です。ネームサーバーにCloudflareが使用されており、実際のホスティングサーバーのIPアドレスがCloudflareによって秘匿されています。
この手口の見分け方
このフィッシングメールには、以下の特徴的な手口が含まれています。受信時に冷静に確認することで、詐欺であると見抜くことができます。
1. 日本年金機構はメールで差押えの最終通告を送信しない
国民年金保険料の滞納に伴う財産差押えは法的手続きであり、最終催告状・督促状は書面(郵送)で届きます。メールのみで「予告なく差押えを執行する」と通告することはありません。
2. PayPayによる年金保険料の「緊急納付窓口」は存在しない
メール本文には「デジタル庁指針に基づく」「PayPay即時決済による緊急纳付窓口」と記載されていますが、国民年金保険料の納付方法として一般的に知られているのは、口座振替・納付書(金融機関・コンビニ)・クレジットカード・電子納付(Pay-easy等)です。「PayPay即時決済」は公式な年金保険料の納付手段ではありません。
3. 極端に短い期限設定で判断を急がせる
このメールは2026年5月9日(土曜日)の夜に送信され、期限は5月11日(月曜日)23:59と設定されています。土曜夜に届き月曜が期限という設定は、週末で公的機関に問い合わせができない状況を狙い、確認する間もなく焦って支払わせることを目的とした典型的な心理的手口です。
4. 法律の条文番号を並べて信頼性を偽装
「国民年金法第96条」「国税徴収法第47条」「行政手続法」「個人情報保護法」などの法律名を多数引用し、公的文書のように見せかけています。法律の条文番号が含まれているだけでは、そのメールが公的機関から送信されたことの証明にはなりません。
5. 差出人のメールアドレスが年金機構ではない
メールソフトの差出人欄に表示される名前だけでなく、メールアドレスの「@」以降のドメイン部分を必ず確認してください。日本年金機構の公式ドメインは一般に nenkin[.]go[.]jp として知られていますが、このメールの差出人アドレスは hei[.]hankyu[.]co[.]jp であり、年金機構とは無関係のドメインです。
6. 「ブラックリスト登録」の脅迫で恐怖を煽る
「信用情報機関に事故情報(ブラックリスト)が登録される」「ローンやクレジットカードが一切不可能になる」といった脅迫的な文言を用いて、受信者の恐怖心を煽り冷静な判断を妨げる手口です。
総合判断
判定:フィッシング詐欺(確定)
以下の複数の独立した証拠に基づき、このメールはフィッシング詐欺であると確定的に判断しました。
- メール認証の複合的失敗:SPF softfailおよびDMARC failにより、Fromヘッダに表示されたドメインの正当な送信元ではないことが確認されています。
- 日本年金機構のなりすまし:表示名に「日本年金」を使用しながら、Fromアドレス・Return-Pathともに年金機構の公式ドメイン(
nenkin[.]go[.]jp)とは無関係です。 - 非正規の支払い手段への誘導:公式に存在しない「PayPay即時決済による緊急納付窓口」へ誘導しています。
- TDS型リダイレクトインフラ:リンク先はTDSによって最終目的地が動的に切り替わる攻撃インフラであり、QRコード決済を悪用した金銭詐取を目的としています。
- メール本文中の簡体字混入:日本年金機構の公式文書には存在し得ない簡体字(动・纳)が混入しており、正規の発行物でないことを裏付けています。
IOC(侵害指標)一覧
セキュリティ担当者の方は、以下のIOCを自組織のメールフィルタやWebフィルタに追加することを推奨します。
| 種別 | 値 | 備考 |
|---|---|---|
| メール SHA256 | eb32983df123d622488d36517561088048baf1fece2fc1206956dbf7198c174e | 検体ハッシュ |
| 送信元メール | kokunai-ngo[@]hei[.]hankyu[.]co[.]jp | Fromヘッダ(偽装) |
| Return-Path | nen[@]mail9[.]achaowangluo[.]com | 実際の送信元 |
| smtp[.]mailfrom | nen[@]mail9[.]achaowangluo[.]com | エンベロープFrom |
| 送信元IP | 34[.]95[.]134[.]226 | Google LLC(CIDR: 34[.]64[.]0[.]0/10) |
| 送信元ドメイン | mail9[.]achaowangluo[.]com | Return-Pathドメイン |
| 誘導URL | hxxps://feldbusinessgrowth[.]com | TDS入口(稼働中) |
| リダイレクト先 | hxxps://qr-topaydayno8[.]com/ | 最終ランディング(今回観測分) |
| ドメイン | feldbusinessgrowth[.]com | 登録日: 2024-07-12 / Gname[.]com Pte. Ltd. |
| ドメイン | qr-topaydayno8[.]com | QRコード詐欺ページ |
| ネームサーバー | lou[.]ns[.]cloudflare[.]com lucy[.]ns[.]cloudflare[.]com |
feldbusinessgrowth[.]comのNS |
PhishTank登録状況
| URL | 登録状況 |
|---|---|
| hxxps://feldbusinessgrowth[.]com | 未登録 — 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。 |
このメールを受け取った場合の対処方法
まだリンクをクリックしていない場合
- メール内のリンクには絶対にアクセスしないでください
- メールを削除してください(迷惑メールとして報告すると、同様のメールのフィルタ精度向上に貢献できます)
- 年金保険料の納付状況が気になる場合は、メール内のリンクではなく、ブラウザのアドレスバーに
nenkin[.]go[.]jpと直接入力するか、「ねんきんネット」で検索してアクセスしてください
リンクをクリックしてしまった場合
- QRコードの読み取りや支払い操作は絶対に行わないでください
- ブラウザを直ちに閉じてください
- ウイルス対策ソフトでフルスキャンを実行してください
- クリックしただけで個人情報を入力・送金していなければ、直接的な被害は発生しにくいと考えられますが、念のため端末の挙動を注視してください
QRコードを読み取った・支払いをしてしまった場合
- PayPayサポートに直ちに連絡し、該当の取引についてキャンセル・返金の相談をしてください
- 最寄りの警察署に被害届を提出してください
- 消費者ホットライン(局番なし 188)に電話し、状況を相談してください
- 日本年金機構(ねんきんダイヤル 0570-05-1165)に連絡し、自身の年金記録に不正なアクセスがないか確認してください
セキュリティ担当者向け
- 上記IOC一覧のドメイン・IPアドレスを、メールゲートウェイおよびWebプロキシのブロックリストに追加してください
- TDS型のため、
feldbusinessgrowth[.]comだけでなく、今後異なるリダイレクト先ドメインが追加される可能性があります。継続的な監視を推奨します - 不審なメールを受信した従業員からの報告窓口を周知し、組織内での早期検知体制を確認してください