【詐欺】e-Tax「未納税金に関するお知らせ」49,869円は偽物!PayPay誘導に注意
【調査報告】e-Taxを騙る未納税金詐欺メール解析 発行日:2026年03月25日 | 調査対象:フィッシングメール及び誘導先詐欺サイト | ■ 最近のスパム動向
今回ご紹介するのは「e-Tax(国税庁)」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、確定申告の期限直後という心理的隙を突き、「未納」「差し押さえ」といった強い言葉で不安を煽る手口が急増しています。特に、従来のクレジットカード情報の抜き取りではなく、PayPayの個人間送金機能を悪用して直接現金を搾取する手法へとシフトしており、極めて巧妙化しています。
| ■ メールの基本データと送信者解析 | 件名 | [spam] 【重要】未納税金に関するお知らせ。 | | 件名の見出し | 「[spam]」が付与されている理由は、送信ドメイン認証(SPF/DKIM)の不一致や、サーバー側で既にブラックリスト登録されているドメインから送信されたためです。 | | 送信者 | e-Tax(国税電子申告・納税システム) <pruhcap@net-app-hupusports.com> | | 受信日時 | 2026-03-25 12:07 | | 署名の検証 | メール末尾の「03-3581-6142」は実際の国税庁代表番号ですが、送信元アドレスが公式(@nta.go.jp)ではなく、無関係なドメインである点が決定的な矛盾です。 | ■ メール本文(画像からの再現) | ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 
日付: 2026年03月25日
この度、お客様の所得税(または延滞金)について、未納の税金があることをお知らせいたします。これまで自主的な納付をお願いしておりましたが、期日までに納付が確認できておりません。 このまま未納の状態が続いた場合、税法に基づき、不動産・自動車などの登記登録財産や、給与・売掛金などの債権に対し差し押さえ処分を実施する可能性がございます。 納税確認番号:****5541
滞納金合計:49,869円
納付期限: 2026年03月25日
最終期限: 2026年03月28日(支払期日の延長不可) 納付手続きは以下のリンクより行えます。 納付ページへ(URL: hxxps://mrieo[.]info/pay.php?msg=…) ※PayPayをご利用でない場合は、事前にアプリのインストールをお願いいたします。 ※本メールアドレスは送信専用です。ご質問がある場合は、国税庁ウェブサイトをご参照ください。 【公式お問い合わせ先】
国税庁公式サイト:https://www.nta.go.jp/
電話: 03-3581-6142(国税庁代表)
| ■ 専門的解析レポート
【犯人の目的】
この犯人の目的は、公的機関を装った「差し押さえ」の恐怖を煽り、最終的にPayPayの個人間送金機能(QRコード読み取り)を通じて、追跡が困難な形で現金を直接奪い取ることです。 【メールのデザインとロゴ】
e-Taxのキャラクターロゴまで盗用しており、非常に本物らしく見せています。もしロゴが添付ファイル形式にされている場合は、アンチウイルスソフトによる画像解析検知(URL照合)を回避し、かつ受信者の受信BOXで100%表示させるための細工です。
| ■ メール送信元の技術情報(Received解析) | 送信元サーバー | mail3.net-app-hupusports.com | | 送信IPアドレス | 194.102.104.132 | | 回線種別 | これは送信に利用された信頼できる情報であり、国税庁のネットワークではありません。 | | ホスティング/国 | M247 Ltd (ルーマニア / Romania) | | ドメイン登録日 | 2026年3月初旬。攻撃の直前に取得されており、犯罪用ドメインと断定できます。 |
≫ 送信元IP 194.102.104.132 の詳細解析データ
■ リンク先(詐欺サイト)の徹底解剖 | 誘導先URL | hxxps://mrieo[.]info/pay.php?msg=…(伏字処理済み) | | サイトの稼働状態 | 稼働中(危険) – 本物そっくりの納税ページが構築されています。 | | IPアドレス | 172.67.166.143 | | ホスト名/国 | Cloudflare, Inc. (アメリカ合衆国 / United States) | | ドメイン登録日 | 2026年03月25日とメール送信の当日取得。短期間で閉鎖・移転を繰り返すフィッシングサイト特有の傾向です。 |
≫ リンク先IP 172.67.166.143 の詳細解析データ
■ 詐欺サイトのスクリーンショット | 
偽物を見抜くポイント:
1. 支払い方法がPayPay送金のみという異常な指定。
2. 公式サイト(nta.go.jp)ではない「mrieo.info」というドメイン。
3. 送金金額が最初から入力されたQRコードを読み込ませる不自然な仕組み。
4. 過去の事例と比較しても、これほど直接的な送金誘導は珍しく、より攻撃的になっています。
| ■ 公式サイトでの注意喚起 Sansetubi Jimusho Security Lab Report – 2026 |