【閲覧注意】国税庁を騙る「未納国税」恐喝メール！@記号で偽装したGoogleリンクの巧妙な罠

HL-META: date=2026-06-28 | brand=国税庁・PayPay（なりすまし） | sender_geo=アメリカ合衆国 | site_geo=不明（Cloudflareプロキシ経由のため特定不可） | spf=softfail | dkim=不明 | cloaking=不明

■ メールヘッダー解析（送信者情報）

件名：【要対応】未納国税の電子納付手続きについて

送信者名：“国税庁徴収管理部自動通知システム”

送信元アドレス：NTA0776695772665@kabqrsae.bqfzqxxapeufjqtiww.shop

送信元IP解析：97.238.27.101（アメリカ合衆国）

受信日時：2026年6月28日（日）3時13分頃

ご覧の通り、このメールは国税庁を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

---

国税庁
NATIONAL TAX AGENCY · JAPAN

管理番号：国徴第54874号
宛　先：（受信者のメールアドレス）

【 未納税額のご通知と督促状 】
≪ 最終通告 ≫

国税庁税務情報システムの定例照合処理において、貴殿の個人番号（マイナンバー）に紐づく課税記録との間に、下記の未納付税額が検出されました。既に督促状を発送しておりますが、現在において納付の確認がなされておりません。

税　目：所得税（確定申告分）未納額
金　額：99,176円

このまま放置されますと、国税通則法第40条ならびに国税徴収法第62条の定めるところにより滞納処分として、預金口座の差押え、給与債権の取立て、不動産に対する公売処分が段階的に実施されます。

本件はPAYPAY公金支払いサービスによりお手続きいただきます。
貴殿専用の即時納付ページを以下にご用意してございます。

納付手続きページ：
hxxps://MOUABH-e-tax-nta-go-jpDVGOPRZr7@share.google/OLFovDMzO7qH95Cme（クリック不可）

同ページにてクレジットカード・銀行振込（Pay-easy）・コンビニ決済のいずれかをお選びいただけます。所要時間は約3分です。納付確認後、本件は即時完納として処理され、滞納処分の進行は停止いたします。

※本リンクの有効期限は発行から72時間です
※既に滞納処分移行準備の段階にあり、期限経過後は予告なく差押えに着手することとなります。至急ご対応ください

■ 督促状（国税通則法第37条）

本書面到達から10日以内に納付手続きを完了してください。期限までに納付がない場合、やむを得ず滞納処分に移行いたします。

なお、やむを得ない事情がある場合は、期限前であれば所轄税務署へのご相談により分割納付等の調整が可能な場合もございます。処分に不服がある場合は、行政不服審査法に基づく審査請求、または裁判所への取消訴訟を提起することが可能です。

■ お問い合わせ

所轄税務署 徴収部門（平日 8:30～17:00）
国税庁 納税相談窓口：03-3581-4161（代表）

国税庁
徴収管理部 自動通知システム

■ 送信ルート及び偽装判定

送信ルート解析：
受信者側のメールサーバーで認証された送信元IPアドレスは97.238.27.101です。SPF認証の結果は「Softfail」（ドメイン所有者がこのホストからの送信を推奨していないという弱い失敗判定）であり、正規の送信元として承認されていません。送信元ドメインbqfzqxxapeufjqtiww.shopは、国税庁とは一切関係のない第三者ドメインです。

【偽装判定】：
国税庁・税務署が国民に送付する通知は、原則として郵送によるものです。仮にオンラインサービス（e-Tax等）からの通知であっても、送信元は「nta.go.jp」等の公式ドメインに限られます。本メールの送信ドメイン「.shop」は国税庁の公式ドメインとは一切関係がありません。

発信元ロケーション解析：
97.238.27.101：アメリカ合衆国

■ フィッシングサイト詳細解析

メール記載のリンク文字列（伏せ字）：
hxxps://MOUABH-e-tax-nta-go-jpDVGOPRZr7@share.google/OLFovDMzO7qH95Cme

このリンクの「@」より前の文字列は、実際の接続先（ドメイン）ではありません。

URLの仕様上、「@」より前は単なる「ユーザー名」として扱われ、ブラウザが実際に接続するのは「@」より後ろの部分です。攻撃者はユーザー名の部分に「e-tax-nta-go-jp」（国税庁の公式ドメインnta.go.jpを意識した文字列）を意図的に埋め込み、リンクの全体が表示されない環境（特にスマートフォン）で「本物の国税庁リンクだ」と誤認させる狙いがあると考えられます。実際に接続される先はGoogleの共有・短縮リンクサービス「share.google」で、そこから最終的に偽の決済サイトへ転送される仕組みです。

最終的な誘導先ドメイン：quyouzhongxiang.com

ドメイン登録情報：2025年2月19日登録、2026年6月19日に直近更新。レジストラはAlibaba Cloud Computing Ltd. d/b/a HiChina。登録者情報は匿名化されておらず、中国・湖北省を示す情報がそのまま表示されています。

サイトサーバーIP：172.67.167.133（Cloudflareのプロキシ経由）

ロケーション：このIPアドレスはCloudflareが提供するCDN（コンテンツデリバリーネットワーク）のものであり、表示される所在地（カナダ・オンタリオ州トロント）はCloudflareのエッジサーバーの場所です。攻撃者が実際に運用しているサーバーの所在地は、このIPアドレスだけからは特定できません。
IPロケーション詳細：【ip-sc.netで確認する】

【サイトの状態】：リンクをクリックすると「約1分お待ちください」というローディング画面を経由し、最終的にPayPayを模した偽の決済画面が表示されます。99,176円という、メール本文に記載された金額と一致する請求額が表示され、QRコードでの送金を促す作りになっていました。

■ 注意点と対処法

1. リンクの「@」記号に注意：URL中に「@」がある場合、その前の文字列がいくら公式ドメインらしく見えても、実際の接続先は「@」より後ろです。これだけで偽装リンクと判断できます。
2. 国税庁・税務署からの通知はメールでは届かない：納税に関する正式な督促は原則として郵送で行われます。メールでの督促、特に民間決済サービスでの即時納付を求める内容は詐欺と判断してください。
3. 「差押え」「至急」という脅迫文言で慌てない：期限を切って不安を煽る手口は、内容を冷静に確認させないための典型的な詐欺の手法です。
4. 不審に思った場合は所轄の税務署に直接確認：メール内のリンクや電話番号ではなく、国税庁の公式サイト（nta.go.jp）に記載された連絡先から確認してください。

本レポートの結論

「国税庁」と「PayPay」という2つの実在組織を組み合わせて信頼性を演出する、悪質な恐喝型フィッシングです。URLの「@」記号を使ってGoogleの共有サービスを偽の入口に見せかける手口は、スマートフォンでリンクの全体が見えにくい環境ほど効果を発揮します。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。