【解析】件名は「三井住友銀行」なのに送信者は「国税庁」？同一犯ネットワークが夜にも稼働していた1通を徹底解剖

2026年6月23日

🔴 緊急度：高

【解析】件名は「三井住友銀行」なのに送信者は「国税庁」？同一犯ネットワークが夜にも稼働していた1通を徹底解剖

Heartland-Lab (ハートランド・ラボ) 専門調査レポート・続報

前回の記事では、2026年6月22日の朝わずか8分間に、総務省・日本年金機構・デジタル庁・Adobe Signという4つの組織を次々に名乗ったメールが同一の送信元から届いたことをご報告しました。今回はその続報です。同じ送信元から、同日の夜になって新たな1通が届いていることが確認できました。今回は件名・送信者・添付ファイルを1通ぶん丁寧に解析し、この攻撃キットの実態をさらに掘り込んでみます。

※重要：本メールにはHTMLファイルが添付されています。Heartland-Labでも安全のため添付ファイルは開封せず、ヘッダー情報と本文のみから解析を行っています。絶対に開かず削除してください。

緊急性レベル	★★★★☆ (4/5) HTML添付ファイル型＋同一犯の継続活動を確認
偽装工作精度	★★★☆☆ (3/5) 国税庁の実在ドメインを送信元に使う一方、Reply-Toのアドレスが微妙に異なるなど作り込みの粗さも残る

■ メールヘッダー解析（送信者情報）

件名：三井住友銀行 – セキュリティ確認および契約更新

表示上の送信者名：“国税庁電子申告・還付センター”

送信元アドレス（From）：verification@nta.go.jp（国税庁の実在ドメインをそのまま盗用）

Reply-To：verification-from@nta.go.jp（Fromと一文字違いの別アドレス）

添付ファイル名：公式通知_976965.html

受信日時：2026年6月22日 22:51

SPF認証（送信元確認の仕組み）：Fail（認証失敗）

DKIM署名：不明（ヘッダー上に署名情報なし）

ご覧の通り、このメールは国税庁を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。なお宛名部分は受信者の個人情報保護のため「○○様」に置き換えています。

件名：三井住友銀行 - セキュリティ確認および契約更新
送信者："国税庁 電子申告・還付センター" <verification@nta.go.jp>
添付ファイル：公式通知_976965.html

○○ 様

国税庁より重要なお知らせです。

添付の公式文書をご確認いただき、本人確認手続きをお願いいたします。

参照番号：JP-86301343-4318

何卒よろしくお願い申し上げます。
国税庁

因みに宛名の「Kir」は私ではありませんし思い付く名前ではありません。
件名は「三井住友銀行」、本文と送信者名は「国税庁」。本来であれば三井住友銀行から届くはずの「契約更新」の通知が、なぜか国税庁の名前で、しかも本人確認手続きという別の用件を持ちかけてくる——この組織名の取り違えこそが、前回記事から続くこの攻撃キットの一番分かりやすい特徴です。さらに参照番号も前回の4通同様「JP-」から始まる形式が踏襲されており、同じテンプレート生成の仕組みを使っていることがうかがえます。

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
※メールヘッダー詳細は個人情報保護のため非掲載

送信元IP：212.19.23.205（host.212-19-23-205.broadband.redcom.ru）

HELO名：MAIN.lan（ローカルネットワークのホスト名がそのまま露出）

Received-SPF：Fail（送信元IPが国税庁の正規送信サーバーとして認証されていない）

【偽装判定】：
送信元IP「212.19.23.205」は、前回記事で取り上げた総務省・日本年金機構・デジタル庁・Adobe Sign偽装メール4通と完全に一致します。HELO名「MAIN.lan」も前回と同一です。前回は朝07:22〜07:30の8分間に4通でしたが、今回は同日の夜22:51。同じ攻撃基盤が、時間を空けて1日を通して稼働を続けていたことが今回新たに分かりました。

発信元ロケーション解析：
ロシア・ハバロフスク地方・ハバロフスク市
プロバイダー：Redcom-Bb（DSL・個人向け回線）
IPアドレス調査：【ip-sc.netで詳細を確認する】（※ロケーション情報は変動する場合があります）
Googleマップ：【位置情報を確認する】

もう一点気になるのが、From（送信元アドレス）とReply-To（返信先アドレス）の不一致です。Fromはverification@nta.go.jpなのに、返信先として設定されているのはverification-from@nta.go.jpという一文字多いだけの別アドレス。受信者がもし「本人確認の件で」と返信してしまった場合、その返信は表示上の送信元とは違うアドレスに届く仕組みです。細部の作り込みが甘いところと、IPアドレス・HELO名・添付ファイル命名則という骨格部分はきっちり前回と揃えてくる律儀さのギャップが、このキットの面白いところです（笑）。

■ 添付ファイル「公式通知_976965.html」の危険性

ファイル名の命名則：「公式通知_」＋6桁のランダムな数字＋「.html」。前回記事の4通（164503／724593／307483／809095）と完全に同じ型で、今回は「976965」が割り当てられています。

【想定される挙動】：このファイルはPDFや画像ではなく、見た目だけ「文書」を装ったHTMLファイルです。開いた瞬間にお使いのブラウザが自動的に起動し、国税庁の本人確認ページに似せて作られた偽サイトへ接続される可能性があります。実際の挙動はHeartland-Labでも未確認（安全のため開封していません）ですが、過去の同種キットでは、こうした添付ファイルからカード情報や本人確認情報の入力を求める偽ページへ誘導する手口が確認されています。

【サイトの状態】：誘導先URLそのものは添付ファイル内に埋め込まれているため、開封しない限り判明しません。これはリンク先URLをセキュリティソフトが学習・ブロックする対策をすり抜けるための手口と考えられます。

■ 注意点と対処法

添付ファイルは絶対に開かない：特にHTML形式の添付ファイルは、開いた瞬間に攻撃が始まる可能性があります。
件名・送信者名・本文の組織名が一致しているか確認する：今回のように「三井住友銀行」の件名で「国税庁」が名乗るような矛盾は、なりすましメールの強力な手がかりです。
「.go.jp」ドメインでも油断しない：表示上のドメインが本物そのままでも、SPF認証が失敗していれば偽物です。国税庁が国税の還付やATM操作を求めることはありません。
公式サイトへの直接アクセスで確認する：心当たりのない通知は、メール経由ではなく公式サイトから直接確認してください。
公式注意喚起の参照：国税庁「不審なメールや電話にご注意ください」

本レポートの結論

「三井住友銀行」の件名で届きながら「国税庁」を名乗るこの1通は、前回記事で報告した総務省・年金機構・デジタル庁・Adobe Sign偽装メールと、送信元IP・HELO名・添付ファイルの命名則まで完全に一致していました。違うのは届いた時間だけ——同じ攻撃基盤が朝から夜まで休まず稼働していたことになります。件名と送信者名がずれているメールは、なりすましの強力なサインです。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net