e-Taxを安全に利用するために知っておきたいフィッシング対策

e-Tax（国税電子申告・納税システム）とは、インターネットで確定申告や納税の手続ができるシステムのことで、法人・個人のどちらもが利用可能です。政府広報オンラインによると、確定申告については約7割がe-Tax（国税電子申告・納税システム）を利用しているということです。（出典：政府広報オンライン：https://www.gov-online.go.jp/useful/article/201301/1.html）
利用の推進が行われているマイナンバーカードを活用することで、「マイナポータル連携」を行い源泉徴収票や控除証明書等のデータを自動入力するなど、どんどんと便利になっています。
一方で、e-Taxの公式サイトに掲載されているようにe-Taxを装ったフィッシングメールが報告されています。「メール文面のリンクをクリックするとフィッシングサイトへ誘導され、個人情報やクレジットカードの情報を詐取」されるとのことで、騙されないように注意が必要です。
そこで、この記事ではe-Taxにおけるフィッシングメールの手口について説明し、フィッシングメールの被害を回避して安全にe-Taxを利用するために覚えておきたい対策についてご紹介します。

フィッシングメールの手口

e-Taxの公式サイトには、過去の手口がいくつか紹介されています。
ここでは、紹介されている手口のうち2つを紹介いたします。

未納税金の支払い請求

税金の滞納があるかのような内容のメールを送り付けるものです。メール文面中に滞納した税金の支払いサイトへのリンクがありますが、リンク先がフィッシングサイトになっているという手口です。メール文面中では最終期限、差押処分、支払期日の延長不可などと記載し、メールの読者を焦らせて思考能力を低下させることを狙っていると思われます。

申告に関するお知らせ

正式なメールの文面のうち、リンクだけをフィッシングサイトのものに書き換えたものです。e-Tax公式サイトの注意点によると「e-Taxから送付する「税務署からのお知らせ」と同様の文面ですが、リンクが相違しています。」とのことで、文面だけを見ても見抜くことができませんし、日本語の不自然な部分などは発生しづらい手口です。こちらは通常のメールと誤解させることでメール読者に自然かつ自発的にリンクへのアクセスを行わせようとしていると思われます。

いずれのメールにせよフィッシングサイトへの誘導を行い、最後にはフィッシングサイト上で個人情報を詐取しようとしています。今後も、メール文面の変更などを行いつつフィッシングメールの継続的な送り付けが行われることは想像に難くありません。また、正式なメール件名や文面でありつつリンクのみを書き換えたフィッシングメールについては、通常利用する際に受信するメールとの判別が非常に困難です。したがって、フィッシングメール対策はe-Taxの安全な利用において意識するべきだといえるでしょう。

出典:国税庁「e-Taxを装った不審なメール等にご注意ください」(https://www.e-tax.nta.go.jp/topics/2024/topics_hushinmail.htm)

情報窃取への対策方法

フィッシングメール対策を行う

まずは、フィッシングメール自体に対してどのような対策ができるのかを紹介します。

不用意にリンクをクリックしない

電子メールに記載されているリンクはクリックしないことが最も効果的です。一般的な多くのサービスにおいて、アクセスが必要と言えるのは登録時の認証用リンクぐらいであり、後のものはサイト内からアクセス可能です。e-Taxの公式サイト上でも、e-Taxから送信するメールについて「原則としてメール本文内にURLを記載していません」とあります。 なお、公式サイトによると「国税庁では支払の催促などをメールで送信していません。」とのことで、特にメール文面中のURLへの支払いを要求されている場合は詐欺だと考えられます。

メールフィルタリングを利用

一般にメールサービスでは、サービス提供元の携帯電話会社や、インターネットサービスプロバイダーなどの迷惑メール対策のフィルタリング機能を利用することができます。メールフィルタリングにより不要なメールを受信しないことで、被害を未然に防ぐことができます。
ちなみに、送信元メールアドレスや送信元名称を確認するという対策については、「電子メールは、仕様上、受信者から見える「送信元名称」や「送信元メールアドレス」を変更することが容易である」(出典：警察庁ウェブサイト：https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html）とのことから、全く効果がない訳ではありませんが別の対策方法と組み合わせて利用することを推奨します。

アクセス先のサイトを確認する

メールのリンク以外の方法でアクセスしたがサイトが本物かわからない、あるいはアクセス前にリンクが安全か確認しておきたいといった場合は、以下の対策があります。

アクセス先のリンクアドレスを確認する

リンクを右クリックしてアドレスをコピーするなどの方法で、リンク先のページが正しいサイトであるか確認することができます。ただし、誤押下によりフィッシングサイトへアクセスしてしまわないよう注意しましょう。実は個人情報の窃取を行うサイトではなく、マルウェア感染を狙うサイトかもしれません。

「お気に入り」機能を利用する

e-Taxに限らず、個人情報を入力したりクレジットカードやマイナンバーカードを利用するようなサイトをよく利用するのであれば、「お気に入り」機能を使うことも検討するとよいでしょう。
「お気に入り」機能を利用することで、リンクを使用せず正しいURLのサイトへアクセスすることができるようになります。

Webサイトの確認サービスを利用する

もしもメールに記載されたリンクからアクセスしなければならない場合、Webサイトの安全性を事前に確かめておくとよいでしょう。Webサイトの安全性確認には、gred(https://check.gred.jp/)などのサービスを利用することができます。

Webサイトの証明書を確認する

Webサイトにアクセスすると、ブラウザでそのサイトの電子証明書を確認することができます。
証明書にはDV（ドメイン認証）、OV（組織認証）、EV（拡張認証）の3種類があり、その中でもOV、EVの証明書を利用しているサイトは信用性が高いといえます。この理由は、それぞれの証明書の認証基準の違いによるものです。DV証明書は、そのWebサイトのドメインを持っていればオンライン上のみで簡単に証明書を取得することができます。OV証明書は、認証局の電話確認などによりその組織が実在すること証明をできなければ取得できません。EV証明書はさらに取得が難しく、公文書の提出などにより法的存在を証明することでようやく取得できるようになります。一般に、フィッシングサイトでは取得の手間が少ないDVを利用しているといわれています。
ここでは例としてALSOKのホームページを使い、実際にブラウザ上で証明書を確認する手順を紹介します。

Microsoft Edgeの場合

まずは、ブラウザの画面上部にある南京錠マークをクリックしてください。

「接続がセキュリティで保護されています」と表示されている欄をクリックしてください。

右上にある、証明書のアイコンをクリックしてください。

組織（O）と表示されているところが以外の表示になっていることを確認してください。これで、OV証明書以上の信頼性があることを確認できました。さらに、ここには「SOHGO SECURITY SERVICES CO.,Ltd.」のように組織の名称が表示されています。e-Taxの場合は「National Tax Agency」と表示されますので、覚えておきましょう。

Google Chromeの場合

まずは、ブラウザの画面上部にある「Tuneアイコン」（2つの「○」と、2つの「－」で構成されたマーク）をクリックしてください。

「この接続は保護されています」と表示されている欄をクリックしてください。

「証明書は有効です」と表示されている欄をクリックしてください。

組織（O）と表示されているところが[Not Part Of Certificate]以外の表示になっていることを確認してください。これで、OV証明書以上の信頼性があることを確認できました。さらに、ここには「SOHGO SECURITY SERVICES CO.,Ltd.」のように組織の名称が表示されています。e-Taxの場合は「National Tax Agency」と表示されますので、覚えておきましょう。

まとめ