【解析】差押予告につき至急ご確認ください|国税庁騙る詐欺メールのIP・回線調査報告
【調査報告】最新の詐欺メール解析レポート 解析ステータス:高度なフィッシング詐欺(国税庁偽装) | ■ 最近のスパム動向
現在、確定申告の最盛期から納付期限にかけた時期を狙い、「国税庁」や「税務署」を騙る差し押さえ予告メールが大量発生しています。これらは「最終通知」という文言で受信者の不安を煽り、冷静な判断を妨げる心理的トラップを仕掛けています。特に2026年に入り、送信インフラにGoogle Cloudなどの正規クラウドサービスを悪用し、セキュリティソフトの検知を巧妙に回避するケースが目立っています。
| ■ 受信メール解析結果 | 件名 | [spam] 【最終通知】差押予告につき至急ご確認ください | | 件名の見出し | 件名の冒頭に付与された「[spam]」は、サーバーの検知システムがこのメールを危険なスパムであると自動判定したことを示す重要な警告です。 | | 送信者 | “国税庁徴収部” <no-reply@mail3.teamlivingproof.com> | | 受信日時 | 2026-03-01 19:45 | | ■ 送信元(Received)回線解析 以下のデータは、メールヘッダーから抽出した送信元の「物理的な足跡」です。カッコ内のIPアドレスは信頼できる送信元サーバーの情報です。 | 送信元ホスト | from mail3.teamlivingproof.com (mail3.teamlivingproof.com [34.97.253.63]) | | 送信元IPアドレス | 34.97.253.63(送信者が直接利用したIP) | | 逆引きホスト名 | 63.253.97.34.bc.googleusercontent.com | | ホスティング社名 | Google Cloud (GCP) | | 国名 | アメリカ合衆国 (US) |
【技術コメント】
ホスト名に「bc.googleusercontent.com」が含まれることから、犯人はGoogleのクラウドインフラを悪用して配信しています。送信元のドメイン「teamlivingproof.com」は国税庁(nta.go.jp)とは一切無関係であり、完全に偽装されたものです。
⇒ 送信元IP 34.97.253.63 の詳細解析データ(ip-sc.net)
| ■ メール本文の忠実再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
e-Taxをご利用いただきありがとうございます。 日付: 2026年3月1日 督促状等により、未納となっている所得税(延滞金を含む)の納付をお願いしておりますが、現時点において未だ納付の確認ができておりません。 最終期限までに納付がない場合、法令の規定に基づき、不動産、自動車、給与、売掛金などの財産の差押処分に着手いたしますので、至急ご確認ください。 納付期限: 2026年3月4日
最終期限: 2026年3月10日(支払期日の延長は認められません) ⇒ e-Tax お支払いサイトへ
hpxs://carousdt.xyz/6ZZ2qx(伏せ字を含む/リンク無効化済) ※本メールは、e-Tax(国税電子申告・納税システム)にメールアドレスを登録された方へ自動配信しております。
※本メールアドレスは送信専用のため、返信は受け付けておりません。 ご不明な点がございましたら、以下のカスタマーサポートまたは管轄の税務署までお問い合わせください。
連絡先: [03-6680-3000]
受付時間: 平日 9:00〜17:00 敬具
国税庁
〒100-8978 東京都千代田区霞が関3-1-1
法人番号: 7000012050002
Copyright (C) TAX AGENCY All Rights Reserved.
| | ■ 犯人の目的と専門的考察 【犯人の目的】
このメールの目的は、国税庁を装うことで「税金の未納による財産差し押さえ」という恐怖心を煽り、偽のe-Taxサイトへと誘導して、クレジットカード情報やVプリカ、あるいは個人情報を組織的に窃取することです。 【専門的解説】
メールデザインは一見公式を装っていますが、非常に素っ気なく、本来公的機関が送る督促状にあるべき「納税者の氏名」がどこにも記載されていません。また、納付期限から最終期限までの猶予がわずか6日間という設定は、日本の行政手続法上の催告プロセスとしては異常に短く、詐欺特有の「急がせる手法」が顕著に現れています。非常に悪質かつ典型的なフィッシング手法です。 | ■ リンク先フィッシングサイト解析 メール内のリンク箇所:「⇒ e-Tax お支払いサイトへ」 | 誘導先URL | hpxs://carousdt.xyz/6ZZ2qx(伏せ字により直リンク無効化) | | リンク先IPアドレス | 172.67.213.155 | | ホスティング社名 | Cloudflare, Inc. | | 国名 | アメリカ合衆国 (US) | | ブロック状況 | ウイルスバスターにて「詐欺サイト」としてブロックを確認済 | | サイトの稼働状況 | 現在も稼働中の可能性が高いため、絶対にアクセスしないでください。 |
【ドメイン登録日・登録者】
whois情報によると、ドメイン「carousdt.xyz」の登録日は直近(数日以内)であり、非常に新しく取得されています。これは、既存のサイトがブロックされた際に即座に切り替えられるよう、詐欺グループが大量に「使い捨てドメイン」を確保している証拠です。
⇒ リンク先IP 172.67.213.155 の詳細解析データ(ip-sc.net)
| ■ 偽サイト(フィッシングサイト)の様子 以下は、誘導先に設置されていた実際の詐欺サイトの画面です。 
【URLの危険ポイント】
公式サイトは必ず「nta.go.jp」で終わります。今回のURLは「.xyz」という汎用トップレベルドメインを使用しており、公的機関が利用することは100%ありません。画面構成だけ本物をコピーしていても、アドレスバーを確認すれば一目で偽物と分かります。
| ■ まとめ・推奨される対応
過去の国税庁偽装事例と比較しても、2026年版はより「差し押さえ」の切迫感を強調し、リンク先サイト(e-Tax偽装)の完成度も高まっています。しかし、送信元ドメインと誘導先URLを冷静に確認すれば、偽装を見破ることは容易です。
- 送信者のメールアドレスがnta.go.jpであるか確認する(今回は偽物)。
- リンク先のURLに公的なドメインが含まれているか確認する。
- 宛名(あなたの本名)が記載されていない督促状は無視する。
国税庁による公式の注意喚起ページはこちら
| |