概要
見出し
2026年6月16日、国税庁の電子申告システム「e-Tax」を装ったフィッシングメールの配信が確認されました。件名は「【e-Tax】未払い税金のお知らせ」で、未納税金があるとして偽の納付ページに誘導する手口です。差出人の表示名は「e-Tax税務署」ですが、実際の送信元は国税庁とは無関係のドメインであり、フィッシング詐欺であることが確定しています。
本記事では、このフィッシングメールの特徴と見分け方を、技術的な根拠とともに解説します。
メールの特徴と手口の分析
基本情報
| 項目 | 内容 |
|---|---|
| 件名 | 【e-Tax】未払い税金のお知らせ |
| 差出人(表示名) | e-Tax税務署 |
| 差出人(実際のアドレス) | marketing-campaigns[@]newsletter-dashboard[.]poariker[.]com |
| 送信日時 | 2026年6月16日 06:01(JST) |
| 文字コード | UTF-8 |
メール本文(全文引用)
【最終通知】未納税金の納付のお願い(e-Tax)
拝啓 平素よりe-Taxをご利用いただき、誠にありがとうございます。
この度、お客様の所得税(または延滞金)について、未納の税金が確認されましたのでお知らせいたします。
これまで自主的な納付をお願いしてまいりましたが、期日までに納付の確認が取れておりません。つきましては、速やかにご対応いただきますようお願い申し上げます。
なお、このまま未納の状態が継続する場合、税法に基づき、不動産・自動車等の資産や給与・売掛金などの債権に対し、差押処分を実施する場合がございますので、あらかじめご了承ください。
■ 納付詳細
納税確認番号:****78233
滞納金合計:1,180円
納付期限:2026年6月16日(延長不可)▶ 納付ページへ: hxxps://e-tax[.]nta[.]cyberwizedc[.]com/e-tax-go-jp/pics/login/reception/loginIndualkaishi3
※本メールアドレスは送信専用です。ご不明点がある場合は、国税庁ウェブサイトをご参照ください。
【公式お問い合わせ先】
国税庁 電話:[電話番号](国税庁代表)—————————–
発行元:国税庁
Copyright (C) NATIONAL TAX AGENCY ALL Rights Reserved.2024
本文に見られる典型的なフィッシング手口
1. 恐怖心の喚起
「差押処分を実施する場合がございます」という文言で、不動産・自動車・給与・売掛金に対する法的措置を示唆しています。受信者の不安と恐怖を煽り、冷静な判断をさせないことが目的です。
2. 極端な緊急性の演出
納付期限がメール送信当日の「2026年6月16日(延長不可)」に設定されています。考える時間を与えず、即座にリンクをクリックさせようとする手口です。一般的に、国税庁が納付期限を当日に設定してメールで通知することはありません。
3. 少額による心理的ハードルの低下
滞納金額が「1,180円」と非常に少額に設定されています。「この程度ならすぐ払ってしまおう」と思わせ、リンク先でのクレジットカード情報や個人情報の入力を促す手口です。
4. 件名と本文の不一致
件名は「未払い税金のお知らせ」ですが、本文冒頭は「【最終通知】未納税金の納付のお願い(e-Tax)」と表現が異なります。テンプレートの使い回しの可能性を示唆する不自然な点です。
5. 著作権表示の年が古い
フッターの著作権表示が「Rights Reserved.2024」となっており、2026年のメールにもかかわらず年が更新されていません。また、「Rights」の不自然な大文字始まりや、年とピリオドの間にスペースがない点も、正規の公的機関からの通知としては不自然です。
差出人・送信元の技術分析
差出人アドレスの不審点
観測事実: メールの差出人(Fromヘッダ)は marketing-campaigns[@]newsletter-dashboard[.]poariker[.]com です。Return-Pathも同一ドメインです。
示唆: 国税庁のe-Taxシステムのドメインは、一般に e-tax[.]nta[.]go[.]jp として知られており、公式サイトで確認できます。一方、poariker[.]com は国税庁とは一切関係のないドメインです。さらに、アカウント名「marketing-campaigns」やサブドメイン「newsletter-dashboard」は、マーケティングメール配信ツールの命名パターンであり、行政機関の通知システムとしては不自然です。
送信元IPアドレス
| 項目 | 内容 |
|---|---|
| IPアドレス | 20[.]71[.]107[.]97 |
| 管理組織 | Microsoft Corporation |
| CIDR | 20[.]33[.]0[.]0/16 |
観測事実: 送信元IPアドレスはMicrosoft(Azure)のインフラストラクチャに属しています。
示唆: クラウドサービスのインフラは誰でも利用可能であり、攻撃者がAzure上のサーバーからメールを送信したことを示唆します。IP単体では送信者の身元や正規性を判断することはできません。本メールがフィッシングと判断される主な根拠は、差出人ドメインが国税庁と無関係であること、および誘導先URLが偽装ドメインであることです。
メール認証結果の解説
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | softfail | 送信元IPが、送信ドメインのSPFレコードで完全に認可されていない |
| DKIM | pass | 電子署名の検証に成功 |
| DMARC | pass | DMARCポリシーの検証に成功 |
認証結果の正しい読み方
観測事実: SPFはsoftfailですが、DKIMとDMARCはpassしています。
示唆: ここで重要なのは、DKIMとDMARCが「pass」であっても、このメールが安全であることを意味しないという点です。これらの認証結果は、poariker[.]comドメインに対する検証結果です。つまり「poariker[.]comから送信された」ことは技術的に裏付けられていますが、poariker[.]comが国税庁のドメインでない以上、認証の成功はフィッシングの否定材料にはなりません。
メール認証技術(SPF/DKIM/DMARC)は「このメールが主張するドメインから送られたか」を検証するものであり、「そのドメインが信頼できるか」を保証するものではありません。攻撃者が自身のドメインに正しく認証設定を行えば、DKIMもDMARCもpassします。
SPFのsoftfailは、送信元IPアドレス(20[.]71[.]107[.]97)が、newsletter-dashboard[.]poariker[.]comのSPFレコードで完全には認可されていないことを示します。これは攻撃インフラの設定不備である可能性があります。
誘導先URLの分析
URL構造の偽装
メール本文に記載されたURLは以下のとおりです。
hxxps://e-tax[.]nta[.]cyberwizedc[.]com/e-tax-go-jp/pics/login/reception/loginIndualkaishi3
観測事実: このURLのドメインは e-tax[.]nta[.]cyberwizedc[.]com です。
示唆: 一見すると「e-tax」「nta」という国税庁関連のキーワードが含まれているため正規サイトに見えますが、実際のドメインは cyberwizedc[.]com です。「e-tax」と「nta」はこのドメインのサブドメインとして設定されているに過ぎません。正規のe-Taxサイトのドメイン(一般に e-tax[.]nta[.]go[.]jp として知られている)とは完全に異なります。
さらに、URLパスにも「e-tax-go-jp」というフォルダ名が含まれており、正規ドメイン「e-tax[.]nta[.]go[.]jp」をハイフンに置き換えて模倣しています。URLの末尾「loginIndualkaishi3」は「Individual(個人)」と「開始」を組み合わせた造語と見られますが、「Individual」の綴りに誤りがあります。
リダイレクトチェーン
観測事実(確認済み): 上記URLにアクセスすると、3回のリダイレクトを経て、最終的に以下のURLに到達します。
hxxps://e-tax[.]wefusemezs[.]com/security/ap/loginlogout/login/creditlimit/inquirycreditlimit/D10203840
リダイレクト先のドメイン wefusemezs[.]com もまた、国税庁とは無関係のドメインです。最初のURL(cyberwizedc[.]com)とは別のドメインにリダイレクトされる点は、攻撃インフラが複数のドメインにまたがっていることを示しています。
最終到達先の状態
| 項目 | 内容 |
|---|---|
| 最終URL | hxxps://e-tax[.]wefusemezs[.]com/security/ap/loginlogout/login/creditlimit/inquirycreditlimit/D10203840 |
| ページタイトル | 403 Forbidden |
| サーバー | nginx |
| ソースサイズ | 194 bytes |
観測事実: 解析時点で最終到達先は「403 Forbidden」を返しており、ページ内容は194バイトのエラー応答のみでした。
示唆: 403応答の理由は未検証ですが、攻撃者がアクセス元のIPアドレス・User-Agent・地域等によってアクセスを制限している可能性、またはフィッシングページが一時的に非公開化されている可能性が考えられます。ただし、URLのリダイレクトチェーン自体は稼働中と確認されているため、条件次第でフィッシングページが表示される可能性があります。
総合判断
以下の複合的な根拠から、本メールはフィッシング詐欺であると確定しています。
- ブランド詐称(確認済み): 差出人の表示名は「e-Tax税務署」ですが、実際の送信ドメイン
poariker[.]comは国税庁とは無関係です。国税庁のe-Taxになりすましていることが確認されました。 - SPF softfail(確認済み): 送信元IPアドレスが送信ドメインのSPFレコードで完全に認可されていません。
- 偽装ドメインへの誘導(確認済み): メール内のリンクは
cyberwizedc[.]comのサブドメインに誘導し、さらにwefusemezs[.]comにリダイレクトします。いずれも国税庁の正規ドメインではありません。
上記の証拠を総合して、本メールは国税庁e-Taxを騙るフィッシング詐欺と判断します。
このフィッシングメールの見分け方
1. 差出人のメールアドレスを確認する
表示名が「e-Tax税務署」であっても、実際のメールアドレスが @newsletter-dashboard[.]poariker[.]com のような無関係なドメインであれば、なりすましです。メールソフトで差出人のアドレス詳細を確認してください。国税庁からの正規メールは、一般に go[.]jp ドメインから送信されます。
2. リンク先のURLをクリック前に確認する
リンクにマウスカーソルを合わせる(スマートフォンの場合は長押し)と、実際のリンク先URLが表示されます。「e-tax」「nta」という文字列がURLに含まれていても、ドメイン部分(cyberwizedc[.]com 等)が正規のものでなければ偽サイトです。
3. 不自然な緊急性に注意する
「本日中に納付しなければ差押処分」「延長不可」といった極端な期限設定は、フィッシングメールの典型的な手口です。国税庁が突然メールで差押を予告し、当日中の対応を求めることは通常ありません。
4. 少額請求は警戒信号
1,180円のような少額は、「面倒だから払ってしまおう」という心理を利用しています。金額が少ないからといって安全ではありません。
5. e-Taxの正規メール通知を理解する
国税庁のe-Taxシステムから送信されるメールは、一般的にメッセージボックスへの格納通知であり、メール本文内で直接納付を求めることはないとされています。納税に関する確認は、必ずe-Taxの公式サイトにブラウザから直接アクセスして行ってください。
このメールを受け取った場合の対処方法
リンクをクリックしていない場合
- メール内のリンクは絶対にクリックしないでください。
- メールを迷惑メール(スパム)として報告し、削除してください。
- 納税状況が不安な場合は、ブラウザのアドレスバーに直接URLを入力するか、ブックマークからe-Taxの公式サイト(一般に
e-tax[.]nta[.]go[.]jpとして知られている)にアクセスして確認してください。
リンクをクリックしてしまった場合
- ページを直ちに閉じてください。情報を入力していなければ、被害の可能性は限定的です。
- 念のため、ブラウザのキャッシュとCookieを削除してください。
個人情報やカード情報を入力してしまった場合
- クレジットカード情報を入力した場合: 直ちにカード会社に連絡し、利用停止とカードの再発行を依頼してください。
- e-TaxのID・パスワードを入力した場合: 正規のe-Taxサイトからパスワードを速やかに変更してください。
- マイナンバーを入力した場合: お住まいの市区町村の窓口に相談してください。
- 警察への相談: フィッシング被害はサイバー犯罪相談窓口(警察庁)に通報してください。
- 国税庁への連絡: 不審なメールについて国税庁の公式お問い合わせ窓口に報告してください。
IOC(侵害指標)一覧
セキュリティ製品や企業のメールフィルタでのブロック設定にご活用ください。
| 種別 | 値 |
|---|---|
| 送信元アドレス | marketing-campaigns[@]newsletter-dashboard[.]poariker[.]com |
| Return-Path | marketing-campaigns[@]newsletter-dashboard[.]poariker[.]com |
| 送信元IP | 20[.]71[.]107[.]97(Microsoft Corporation / CIDR: 20[.]33[.]0[.]0/16) |
| 送信ドメイン | newsletter-dashboard[.]poariker[.]com |
| 誘導URL(初段) | hxxps://e-tax[.]nta[.]cyberwizedc[.]com/e-tax-go-jp/pics/login/reception/loginIndualkaishi3 |
| 誘導URL(最終) | hxxps://e-tax[.]wefusemezs[.]com/security/ap/loginlogout/login/creditlimit/inquirycreditlimit/D10203840 |
| フィッシングドメイン | cyberwizedc[.]com |
| フィッシングドメイン | wefusemezs[.]com |
| メールSHA256 | 4b3f0dbdfa8cd8ec0ff1a[REDACTED]5946722fc3f0035cd674bb755bbb566d |
PhishTank登録状況
本記事公開時点で、誘導URL hxxps://e-tax[.]nta[.]cyberwizedc[.]com/e-tax-go-jp/pics/login/reception/loginIndualkaishi3 はPhishTankには未登録です。当社にて登録申請を行います。
まとめ
「【e-Tax】未払い税金のお知らせ」という件名のメールは、国税庁e-Taxを騙るフィッシング詐欺です。差押処分の脅しと当日期限で受信者を焦らせ、偽の納付ページで個人情報やクレジットカード情報を窃取しようとしています。差出人のメールアドレス(poariker[.]com)は国税庁と無関係であり、リンク先のドメイン(cyberwizedc[.]com、wefusemezs[.]com)も正規サイトではありません。
国税庁がメールで直接納付を求めることはありません。不審なメールを受け取った場合は、メール内のリンクをクリックせず、公式サイトに直接アクセスして確認してください。