【解析】住民税納付の再度のご案内 詐欺メールのIP・ドメイン調査報告
【調査報告】最新の詐欺メール解析レポート 解析ステータス:高度なフィッシングサイト誘導を確認 | ■ 最近のスパム動向(2026年3月現在)
今回ご紹介するのは「eLTAX(地方税お支払サイト)」を騙るメールですが、その前に最近のスパムの動向を整理します。現在は「住民税の年度末精算」や「令和7年度の新税制」を騙った、季節性の強い税金関連詐欺が横行しています。特に地方自治体のDX化に乗じ、公式サイトと見分けがつかない「偽の決済画面」へ誘導し、クレジットカード情報だけでなくマイナンバー情報まで盗み取ろうとする手口が主流です。
| ■ 受信インテリジェンス | 件名 | [spam] 住民税納付の再度のご案内 【お早めのお手続きを】 | | 件名の特記事項 | 冒頭に「[spam]」という文字列がある場合、受信サーバー側で既にスパム判定が下されています。これはメールの挙動や送信元ドメインの信頼性が極めて低いことを示しています。 | | 送信者表示名 | “eLTAX” | | 送信アドレス | onishi1996@hat.jtrfulg.cn | | 受信日時 | 2026-03-22 14:58 | ※送信者のメールアドレスが「eltax.lta.go.jp」ではなく、中国ドメイン「.cn」である点は決定的な偽装の証拠です。 | ■ メールの再現と解析(本文) ※本物の詐欺メールをできる限り忠実に再現していますが、実物とデザインが異なる場合もあります。
[受信者のアドレス] 様 いつもお世話になっております。2025年分の地方税(住民税)につきまいて、
納付期限を過ぎてもなお、未納の状態となっております。━━━━━━━━━━
【対象税目】 地方税(住民税)
【対象年度】 令和7年度
【未納税額】 1980円
【納付方法】 納付書または ELTax による電子納付
━━━━━━━━━━━━━━━━━━━━ このまま未納の状態が続きますと、
延滞金の発生や、今後の督促手続きの対象となる場合がございます。 地方税(住民税)で今すぐ納付する すでに納付手続き中の場合や、ご入金の行き違いの際は、
本メールは破棄いただければ幸いです。
お忙しいところ恐れ入りますが、ご確認のほど、何卒よろしくお願い申し上げます。
| 犯人の目的: このメールの主目的は、1,980円という少額の税金納付を装い、被害者に心理的負担を与えず、偽の決済ページでクレジットカード情報(番号、有効期限、セキュリティコード)を盗み出すことにあります。 専門的解説: 本文には公的機関が必ず記載する「署名(住所、電話番号、部署名)」が一切存在せず、文字ばかりで構成されています。また、「2025年分」を「令和7年度」と記載している点は一見正しく見えますが、地方税の納付スケジュールとしては不自然なタイミングでの督促です。 | ■ サイト回線関連情報(送信元解析) 以下の情報は、メール送信に利用されたインフラの生データであり、信頼できる証拠情報です。 | Received情報 | from hat.jtrfulg.cn (unknown [103.159.35.78]) | | 送信元IPアドレス | 103.159.35.78 | | ホスティング社名 | Vocus Communications | | 設置国 | Australia (オーストラリア) | | ドメイン登録日 | 2026年3月中旬(極めて最近) |
→ 103.159.35.78 の技術詳細解析データ(ip-sc.net)
| ■ リンク先ドメイン・サイト詳細解析 | 誘導先URL | hxxps://rmgvbu[.]cn/bvvwtxoq=eltaxss/(※伏字あり) | | 解析ドメイン | rmgvbu.cn | | IPアドレス | 45.207.45.12 | | ホスティング | Apeiron Systems | | 設置国 | Hong Kong (香港) | | ドメイン取得日 | 2026-03-20(攻撃の2日前に取得) | コメント: ドメイン登録日が数日前であることは、使い捨てのフィッシング専用インフラである証拠です。正規のeLTAXサイトがこのような新規ドメインに決済を委託することはありません。
→ リンク先IP: 45.207.45.12 の解析ページを表示
| ■ 詐欺サイトの実体と稼働状況 リンク先をクリックすると、以下の偽のエラーページが表示されます。 | We apologize, but your request has timed out. Please try again or check your internet connection. For further assistance, contact our support. | 危険なポイント: 現在、このサイトは「タイムアウトエラー」を装っていますが、これはアクセス者の環境(IPアドレスやブラウザ)を判別し、解析者からのアクセスを遮断するための偽装工作である可能性が高いです。ウイルスバスター等でも既にブロック対象となっています。 | ■ まとめと推奨アクション
今回のメールは、正規サイトのロゴを意図的に隠し、テキストだけで「緊急性」を煽ることで、ユーザーを焦らせてリンクをクリックさせる典型的な手法です。過去の事例と比較しても、リンク先ドメインが `.cn` であることや、設置国が香港である点など、海外拠点からの組織的な犯行と断定できます。
対処法:
・メールは即座に削除してください。
・万が一カード情報を入力した場合は、すぐにカード会社に連絡し、利用停止措置をとってください。
| |