【警告】国税庁・デジタル庁「本人確認書類の提出期限」は詐欺!ロシア発のSPF認証失敗メールに仕込まれたHTMLスマグリングを解析
| 緊急性レベル | ★★★★★ (5/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:デジタル庁・マイナンバー — 本人確認書類の提出期限について
送信者表示名:e-Tax 確定申告サポート
表示上の送信元アドレス:support@e-tax.nta.go.jp(国税庁の正規ドメインを偽装した表示)
送信元IP解析:212.19.23.205(ロシア/一般家庭用ブロードバンド回線)
SPF判定:Fail(認証失敗)。表示上の送信元アドレスは国税庁の正規ドメイン「e-tax.nta.go.jp」に見えますが、実際の送信元はこのドメインの認証を一切通過しておらず、なりすましであることが技術的にも明確に証明されています。
受信日時:2026年06月25日(木)15時14分頃
添付ファイル:「公式通知_602819.html」というHTMLファイルが添付されています。中身にはメールアドレスとパスワードを入力させる偽の還付金申請フォームが直接埋め込まれていました。
ご覧の通り、このメールは国税庁・デジタル庁を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。短い文面と参照番号だけで、添付ファイルを開かせることに重点を置いた作りです。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
Info 様 e-Taxより重要なお知らせです。 添付の公式文書をご確認いただき、本人確認手続きをお願いいたします。 参照番号: JP-55061971-2609 何卒よろしくお願い申し上げます。 e-Tax 【添付ファイル:公式通知_602819.html】
メール本文自体は非常に短く、具体的な説明をほとんど含んでいません。これは、本文中のリンクではなく**添付ファイルを開かせること**に重点を置いた作りだからです。「公式文書を確認してください」と添付ファイルの開封を促す手口には、リンクをクリックする以上の警戒が必要です。件名には「デジタル庁・マイナンバー」とありながら、本文の差出人は「e-Tax」となっており、複数の行政機関の名称が一つのメールの中で混在している点も不自然です。
■ 送信ルート及び偽装判定
送信元の正体:表示上のメールアドレス「support@e-tax.nta.go.jp」は、国税庁が実際に利用する正規ドメイン「e-tax.nta.go.jp」をそのまま装ったものです。しかし、メールヘッダーの送信元認証情報(SPF)を確認した結果、このメールは国税庁のドメインの正規の送信経路を一切通過していないことが判明しました。
送信元サーバーの解析:実際の送信元IPアドレスは212.19.23.205。このIPアドレスはロシアに割り当てられた、一般家庭向けのブロードバンド回線(ホスト名に「broadband」と明記)でした。企業のサーバーではなく一般家庭の回線から送信されているということは、ウイルス感染等によって乗っ取られた個人のパソコンが、攻撃者に無断で踏み台として使われている可能性が高いです。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
■ 添付HTMLファイルの詳細解析
HTMLスマグリングという手口:本文中にリンクを貼るのではなく、添付ファイルそのものをHTML形式にして、その中にフィッシングサイトの内容を直接埋め込む手口を「HTMLスマグリング」と呼びます。この手口は、メール本文中のURLだけを警戒するフィルターをすり抜けやすいという特徴があります。添付ファイルの実体は当サイトでは開封・実行せず、Heartが安全な検証環境で内容を確認した結果をもとに解析しています。
※「国税庁」のロゴと公印を模した画像を使い、メールアドレスとパスワードをその場で入力させる偽のフォームです。
フォームの構成:表示された画面には「還付申告通知書」というタイトルと、「公印 OFFICIAL SEAL」「受理済 PROCESSED」といった、公式文書らしさを演出する視覚効果が多数使われています。その上で「登録メールアドレス」と「本人確認パスワード」を入力させ、「還付手続きを完了する」というボタンを押させる構成になっていました。
入力されたメールアドレスとパスワードがどこに送信されるかについては、安全のためこれ以上の技術的な検証(スクリプトの実行や通信先の追跡)は行っておりません。ただし、このようなフォームに情報を入力すれば、その情報がそのまま攻撃者の手に渡ることは間違いありません。
※解析データに基づき、本メールは送信元の偽装(SPF Fail)と添付ファイルによる情報窃取という、複数の手口を組み合わせた攻撃であることが確認されています。ロケーション情報は調査時点(2026年6月)のものであり、日々変化する可能性があります。
■ 注意点と対処法
- 添付ファイルを開かない:「公式文書」「重要なお知らせ」という名目であっても、心当たりのない添付ファイル(特にHTML形式)は絶対に開かないでください。
- メールアドレスやパスワードを入力しない:添付ファイルや偽サイトにメールアドレスとパスワードの入力欄があっても、絶対に入力しないでください。
- 国税庁・e-Taxはメールに添付ファイルを付けない:国税庁公式の案内によると、e-Taxから送信するメールには、原則としてファイルを添付することはありません。添付ファイル付きの「e-Tax」「国税庁」を名乗るメールは、この時点で偽物と判断できます。
- 表示されたアドレスを安易に信用しない:表示名やメールアドレスが本物のドメインに見えても、なりすましである可能性があります。SPF認証等の技術的な検証なしに見た目だけで判断しないでください。
- 公式注意喚起の参照:国税庁公式「不審なメールや電話にご注意ください」
本レポートの結論
「デジタル庁・マイナンバー — 本人確認書類の提出期限」という名目で届く今回のメールは、国税庁・e-Taxの正規ドメインを偽装した、悪質な行政機関なりすましです。送信元はロシアの一般家庭回線、送信元の認証(SPF)も明確に失敗しているにもかかわらず、添付されたHTMLファイルには、本物の公式文書を巧みに模したパスワード入力フォームが仕込まれていました。行政機関を名乗るメールほど信用してしまいがちですが、添付ファイルが付いている時点でまず疑ってください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開!