【詐欺】e-Tax「未納税金に関するお知らせ」PayPay誘導の手口を解析
【調査報告】詐欺メール「[spam] 【重要】未納税金に関するお知らせ」解析レポート 本レポートは、国税庁を騙りキャッシュレス決済(PayPay)を悪用して直接金銭を搾取する最新のフィッシング詐欺を解析したものです。技術的な証拠に基づき、その危険性を告発します。 | 最近のスパム動向
今回ご紹介するのは「e-Tax(国税庁)」を騙るメールですが、その前に最近のスパムの動向について解説します。
2026年に入り、公的機関を装ったフィッシング詐欺は「情報の窃取」から「直接的な送金」へとフェーズが移行しています。
特に確定申告後の時期を狙い、心理的な焦りを誘う「差し押さえ」という文言と、匿名性の高い「PayPay送金」を組み合わせる手口が定着しています。
| | ■ メール受信データ詳細 | | 件名 | [spam] 【重要】未納税金に関するお知らせ | | 送信者 | “e-Tax(国税電子申告・納税システム)” <sm@enter-wanmei.com> | | 受信日時 | 2026-04-11 6:27 | 送信者に関する情報
送信元アドレス sm@enter-wanmei.com は国税庁の正当なドメイン(nta.go.jp)とは一切関係がありません。
ドメインの「enter-wanmei」という文字列からも、攻撃者が用意した無関係なサーバーから送信されていることが一目瞭然です。
| ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
至急・重要
所得税納税状況の再確認および納付手続きのご案内
e-Taxをご利用いただきありがとうございます。 国税庁納付管理システムによる自動照会の結果、お客様の令和7年度分所得税および付随する延滞税につきまして、当初の納付期限を過ぎた現在も収納の確認が取れておりません。 本通知は、自主的な納付を促す最終の督促となります。以下の内容をご確認の上、速やかに納付手続きを完了させてください。 税目:所得税および延滞税
滞納金額合計:47,896 円
納付期限(最終):2026年04月10日
管理コード:NTA-ACK-1222 【重要】お支払い方法の限定について 本督促案件のオンライン決済につきましては、事務手続きの簡略化および迅速な収納確認のため、PayPay(ペイペイ)のみの受付となっております。
クレジットカード、コンビニ納付、銀行振込等の他の手段は現在制限されておりますので、予めご了承ください。 納付ページへ(https://gueliant●●●ravo.info/p●y.php…) ※期限までに納付が確認できない場合、国税通則法第37条に基づき、予告なく財産(給与・預金・不動産等)の差押処分を執行いたします。
|
国税庁(National Tax Agency)
本メールは、e-Taxにメールアドレスを登録されている方へ自動送信されています。
心当たりのない場合、または既に納付済みの場合は、本メールを破棄してください。 公式サイト:https://www.nta.g●.jp/
国税庁ヘルプデスク:0120-95-3045(受付時間:平日9:00~17:00)
| メールの目的と致命的な矛盾
【犯人の目的】
「差押処分」という強力な脅し文句で冷静さを失わせ、偽のPayPay決済画面へ誘導し、表示されたQRコードから攻撃者のウォレットへ直接送金させることが目的です。
【専門的な異常点】
1. 支払い方法の不自然さ: 公的機関が納税方法を特定の民間キャッシュレス決済「のみ」に限定することはあり得ません。
2. 署名の電話番号: 記載されている 0120-95-3045 はマイナンバー関連の窓口番号ですが、納税の催促でこの番号が使われることはなく、情報の寄せ集めで作られた形跡があります。
3. デザインの罠: 本文末尾が水色背景のテンプレートは、フィッシングメール作成ツールで頻繁に使用される「詐欺の定石」です。
| | ■ Received (送信元:メール回線関連情報) | | Received ホスト | mail5.enter-wanmei.com | | 送信元IPアドレス | 104.168.148.216(偽装不可の生情報) | | ホスティング社 | HostWinds LLC | | 国名 | アメリカ合衆国 (United States) | | ドメイン登録日 | 2026-03-15(攻撃の直前に取得された不審なドメイン) | | 根拠データ | https://ip-sc.net/ja/r/104.168.148.216 | | ■ サイト回線関連情報(誘導先:詐欺サイト) | | 誘導URL | https://gueli●ntonoperavo.info/pay.php…(伏字あり) | | リンク先IPアドレス | 172.67.141.22 | | ホスティング社 | Cloudflare, Inc. | | 国名 | アメリカ合衆国 (United States) | | ドメイン登録日 | 2026-04-05(取得からわずか数日の「使い捨てサイト」です) | | 稼働状況 | 稼働中(極めて危険) | | 解析エビデンス | https://ip-sc.net/ja/r/172.67.141.22 | 詐欺サイトの構成 以下は、誘導先に設置されている偽の納付画面です。e-Taxのロゴを盗用し、PayPay送金専用のQRコードを表示させています。 
QRコードの下に金額が固定で表示されており、スキャンするだけで犯人の口座に送金される仕組みになっています。 | まとめと対処方法
今回のケースは、過去のフィッシング詐欺と比較しても「直接送金」への誘導が非常にスムーズに設計されています。
QRコード決済は一度送金すると取り消しが非常に困難です。
【注意点と対処】
・「PayPayのみ」という指示が出た時点で100%詐欺だと判断してください。
・不審なメールを受け取ったら、記載のURLではなく、公式のアプリや検索エンジンから公式サイトへアクセスしてください。
参考:国税庁:不審なメールや電話にご注意ください
| |