国税庁を騙るフィッシングメールの実例-DKIM認証を通過しスパムフィルター通過

セキュリティニュース

投稿日時: 更新日時:

nta-phishing-email-dkim-bypass

「国税庁徴収管理部自動通知システム」を名乗る差出人から「未納税額 99,176円。このまま放置すれば預金口座の差押えに着手する」という件名のフィッシングメールが2026年6月29日に確認されました。件名は「国税庁 未納税額のご通知と督促状 ≪最終通告≫」、本文は本物の国税徴収法の条番号まで引用した精巧な文面で、有効期限72時間・PAYPAYでの即時決済を要求しています。

Gmailのスパムフィルターを通過しており、メールヘッダーには「SPF: PASS・DKIM: PASS・DMARC: PASS」の表示が残っています。

しかし送信元ドメインを精査すると aiswrmek.aomlqiskvitxdls.shop という国税庁の公式ドメイン nta.go.jp と全く無関係のランダム文字列ドメインで、典型的なフィッシングメールです。今回の記事では実際のメールヘッダーをもとに、なぜスパムフィルターをすり抜けるのか・何が本物との決定的な違いなのかを情報システム部門向けに技術的に解説します。

サマリー

  • 差出人アドレスは [email protected]。国税庁の正規ドメイン nta.go.jp とは完全に無関係。ドメインは .shop TLD で明確な詐欺用ドメイン
  • SPF・DKIM・DMARCが全て「PASS」と表示されているが、これは詐欺ドメイン aiswrmek.aomlqiskvitxdls.shop 自身のDNS設定が正しいことを意味するだけで、「送信元が本物の国税庁である」ことを証明するものではない
  • 本文には実在する国税庁の電話番号(03-3581-4161)・実在する法令条番号(国税通則法・国税徴収法)が引用されており、信頼感を演出している。ただし国税庁はこの番号でPayPay送金を要求しない
  • 国税庁(または国税局・税務署)が未納税額の決済にPayPayを指定することは一切ない。政府の税収納はe-Tax・コンビニ・銀行振込・ダイレクト納付が公式手段
  • PAYPAYは公式に「企業や団体へのお支払いに、送る・受け取る機能は利用されていない」と注意喚起している。ユーザーが送ったPayPay残高はPayPayの補償制度の対象外
  • 迷惑メール相談センター(電気通信事業者協会)は2026年6月26日に同様の件名「【重要】国税未納に関する最終通知」を含む詐欺メールを「要注意メール」として公表済み
項目 本物の国税庁 今回のフィッシングメール
メールアドレスの送信元ドメイン nta.go.jp または e-tax.nta.go.jp aiswrmek.aomlqiskvitxdls.shop(無関係ドメイン)
未納税の通知方法 郵便(書留・普通郵便)が原則 メールで「最終通告」と送付
支払い方法 e-Tax・コンビニ・銀行振込・ダイレクト納付 PayPay(送る機能)への誘導
リンクの形式 nta.go.jp または e-tax.nta.go.jp 配下のURL 短縮URLで誘導先を隠す
連絡先 所轄税務署・税務相談センター(0570-00-5901) 本物のNTA電話番号(03-3581-4161)を流用
差押えの予告 複数回の書面による督促後に実施 メール1通で「本日中に差押え」と脅迫

フィッシングメールの内容

 


国​税​庁
NATIONAL TAX AGENCY · JAPAN

管理番号:国徴第202606703634号
宛 先:

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【 未​納​税​額のご通知と督​促​状 】
≪ 最​終​通​告 ≫

国税庁税務情報システムの定例照合処理において、貴殿の個人番号
(マイナンバー)に紐づく課税記録との間に、下記の未納付税額が
検出されました。既に督促状を発送しておりますが、現在において
納付の確認がなされておりません。

税 目:所得税(確定申告分)未納額
金 額:99,176 円

このまま放置されますと、国税通則法第40条ならびに国税徴収法
第62条の定めるところにより滞納処分として、預金口座の差押え、
給与債権の取立、不動産に対する公売処分が段階的に実施されます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本件はPAYPAY公金支払いサービスによりお手続きいただきます。
貴殿専用の即時納付ページを以下よりアクセスしてください。

▶  即時納付ページはこちら

同ページにてクレジットカード・銀行振込(Pay-easy)・
コンビニ決済のいずれかをお選びいただけます。
所要時間は約3分です。納付確認後、本件は即時完納として処理され、
滞納処分の進行は停止いたします。

※本リンクの有効期限は発行から72時間です
※既に滞納処分移行準備の段階にあり、期限経過後は予告なく
差押えに着手することとなります。至急ご対応ください

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 督促状(国税通則法第37条)

本督促状は最終通告です。本書面の到達をもって、納付猶予期間は
終了しております。ただちに下記納付ページより手続きを完了して
ください。

本日中の納付確認が取れない場合、滞納処分として預金口座の
差押えに着手いたします。

なお、処分に不服がある場合は、行政不服審査法に基づく審査請求、
または裁判所への取消訴訟を提起することが可能です。ただし、
審査請求の提起は滞納処分の執行を停止する効力を持ちません。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ お問い合わせ

所轄税務署 徴収部門(平日 8:30 ~ 17:00)
国税庁 納税相談窓口:03-3581-4161(代表)

国​税​庁
徴収管理部 自動通知システム


実物メールヘッダーから読み解く手口—なぜスパムフィルターを通過するのか

今回確認されたフィッシングメールのヘッダー情報を詳細に分析します。

送信元ドメインの偽装

差出人として表示されているのは「国税庁徴収管理部自動通知システム」というDisplay Nameですが、

実際のメールアドレスは [email protected] です。aiswrmek.aomlqiskvitxdls.shop というドメインは意味を持たないランダムな英数字の羅列で、.shop TLDは低コストで取得できるためフィッシングに多用されています。

国税庁の正規ドメインは nta.go.jp に限定されており、今回のドメインは全く無関係です。

SPF・DKIM・DMARC が全部「PASS」という罠

Gmailのヘッダーには以下のように表示されています。

SPF: PASS(IP: 96.65.249.5)
DKIM: PASS(ドメイン: aiswrmek.aomlqiskvitxdls.shop)
DMARC: PASS

これを見て「本物に違いない」と判断するのは危険です。

SPF・DKIM・DMARCの認証は「そのメールが宣言されたドメインのDNS設定と整合するか」を確認するものです。

攻撃者は aiswrmek.aomlqiskvitxdls.shop というドメインに対して自ら正しいSPFレコード・DKIMの秘密鍵・DMARCポリシーを設定しているため、自分のドメイン名義での送信については認証が「PASS」になります。これらの認証機構は「送信者の信頼性」を保証するものではなく、「宣言された差出人ドメインと実際の送信経路が一致しているか」を確認するだけです。

さらに今回のDMARCは p=NONE に設定されています。これはDMARCのポリシーが「何もしない(None)」を意味し、たとえスパムフィルターが不審と判定しても、DMARCポリシー上は「隔離・拒否しなくていい」とメールサーバーに指示する設定です。今回のようにGmailのスパムフィルターをすり抜けたのは、この認証技術の正しい理解と設定を攻撃者が悪用したためです。

偽りの送信クライアント情報

メールヘッダーには X-Mailer: KDDI EZweb Mail 20.62.2820 という記述があります。これは「KDDIのEZウェブメール経由で送信されたように見せかける」ために攻撃者が付加した偽の情報です。X-Mailerヘッダーは任意に設定できるため、実際の送信環境とは無関係です。

差押え恐怖・72時間制限・PayPay送金—ソーシャルエンジニアリングの三本柱

本文を分析すると、受信者を心理的に操作するために三つの技術が組み合わされています。

第一の柱は権威への恐怖です。「国税通則法第40条」「国税徴収法第62条」「行政不服審査法に基づく審査請求」など実在する法令条番号が正確に引用されており、「法的に正当な通知」に見せかけています。さらに国税庁の代表電話番号(03-3581-4161)を連絡先として記載することで、疑いを持った受信者が電話で確認しようとするタイミングのハードルを下げています(ただしこの番号に電話しても、攻撃者の指示通りの支払いを求められる可能性があります)。

第二の柱は時間的圧力です。「有効期限72時間」「本日中の納付確認が取れない場合、滞納処分として預金口座の差押えに着手いたします」という文言は、冷静に考える時間を奪うための典型的なソーシャルエンジニアリングです。実際の国税徴収の差押えは複数回の督促状・催告・財産調査を経る法的手続きが必要であり、メール1通で翌日差し押さえが執行されることはありません。

第三の柱はPayPayへの誘導です。2026年春頃から公的機関をかたり「PayPay公金支払いサービス」「PayPay専用即時決済」への送金を求める詐欺メールが急増しています。PayPay公式は「企業や団体へのお支払いに、送る・受け取る機能は利用されていない」と明確に注意喚起しており、ユーザーが自ら送ったPayPay残高はPayPayの補償制度の対象外です。送金してしまった場合の返金は事実上不可能です。

国税庁が絶対にやらないこと——本物との見分け方

国税庁の公式発表と業務実態から、以下は本物の国税庁が行わないことです。

未納税額の最初の通知をメールで行うことはありません。国税庁からの督促状・差押予告は書留郵便または特定記録郵便で自宅に届くのが原則です。メールでの「最終通告」という運用は存在しません。

国税の納付にPayPayの送金機能を指定することもありません。政府の正規の納付手段はe-Tax(インターネット納付)・ダイレクト納付(口座引き落とし)・振替納税・コンビニ納付・金融機関窓口・クレジットカードです。PayPay残高の個人間送金を「税金の支払い」として受け付けることはありません。

Googleの短縮URL(share.google/〜)に支払いページを置くこともありません。国税庁の正規URLは https://www.nta.go.jp から始まります。短縮URLで誘導先を隠した「即時納付ページ」は詐欺の典型的な構造です。

電話番号(03-3581-4161)が本物でも安心してはいけません。この番号は国税庁の代表番号として公開されており、フィッシングメールはこの番号を意図的に流用して信頼感を演出しています。電話で確認する場合は、受信したメールの記載番号ではなく国税庁公式サイト(nta.go.jp)に掲載されている番号または国税相談センター(0570-00-5901)に自分でかけなおしてください。

受信した場合・誤って操作してしまった場合の対処

受信しただけの場合はリンクを開かず・返信もせずにそのままメールを削除してください。フィッシング対策協議会(jpcert.or.jp/csirt-material/phishing/)への報告も有効です。

誤ってリンクをクリックした場合、サイトにアクセスしただけでは個人情報は漏洩しません。ただちにブラウザを閉じてください。IDやパスワード・クレジットカード番号・マイナンバーなどを入力してしまった場合は、入力したサービスのパスワードを変更し、クレジットカード会社に連絡して利用停止を依頼してください。

PayPayで送金してしまった場合はPayPayサポートに連絡してください。ただし、ユーザーが自発的に送った残高はPayPayの補償制度の対象外であることが公式に表明されており、返金を受けられる可能性は低い点に注意が必要です。被害を受けた場合は最寄りの警察署への相談と、消費者ホットライン(188)への連絡も有効です。


出典