「偽メール」対策なき自治体で危険にさらされる“情報”と“人命”＝山崎文明

2020年11月20日

　自治体・政府の偽メール対策が、国民を命の危険にさらしている。大雨などの防災警報のメールが迷惑メールに振り分けられ、届けるべき国民に届かない事態が発生、メールが正しいタイミングで住民に届いていれば災害を免れ避難できていたかも知れないのだ。デジタル庁創設を掲げている菅義偉政権はこの対策こそ迅速に行うべきだ。※特集「サイバー攻撃で滅びる日本」はこちら

＜防災メールが迷惑メールに振り分けられるかもしれない７県は青森、石川、岡山、鳥取、山口、徳島、高知＞

　電子メールが正しい送信者から送られているメールかどうかを自動的に検証するには、次の二つの方法がある。

（１）ＳＰＦ

（Sender Policy Framework）

（２）ＤＭＡＲＣ

（Domain-based Message Authentication, Reporting and Conformance）

　電子メールを受け取ったときの送信者のメールアドレスは、郵便に例えるなら便箋に書かれた送り主の名前だ。これとは別に電子メールには、封筒に該当する特別な操作をしなければ受信者の目には触れない送信者メールアドレスがある。便箋に書かれた送信者のメールアドレスは簡単に書き換えることができ、送信者を偽ることができるのだ。

　まず、ＳＰＦは、この便箋に書かれた送信者のメールアドレスと封筒に書かれた送信者のメールアドレスの一致を確認する技術だ。

　一方、ＤＭＡＲＣとは、ＳＰＦの機能に加えて電子メールの電子署名を確認することで送信者の正当性を確実にする技術だ。

　このうち、非常に簡単に設定できるのがＤＭＡＲＣである。誰でも無料で利用でき、設定時間は20分から最大で４時間だ。送信ドメイン認証できるＳＰＦとＤＭＡＲＣが設定されていないと受信者にメールが届かない可能性が高くなる。つまり生死に関わる防災メールを確実に着信させるための必須技術なのである。

岡山県の悲劇

詳しくはこちら

　２０１８年７月、岡山県の「大雨特別警報」を知らせるメールが「迷惑メール」と判断され、３０００人に配信できず、延べ１９２万通の配信が最大２時間遅延した事件が発生した。

　岡山県豪雨災害検証委員会が19年２月に出した「豪雨災害検証報告書」では、「放流情報については、防災情報メールの登録者にメール配信しているが、放流予告情報についてもメール配信できるようシステム改修を行う」との記述はあるが、正規の防災情報メールが迷惑メールに仕分けされた問題は一切触れられていない。２時間もの間、警報メールが届かなかったことは、死者68人、行方不明者３人、負傷者１７７人を出した一つの大きな原因ではないか。

　岡山県がＤＭＡＲＣに準拠してさえいれば防災メールが迷惑メールに仕分けされ、届かないという事態を回避でき、これほど多くの死傷者も出なかったはずだ。岡山県の電子メール（www.pref.okayama.jp）は今もＤＭＡＲＣに準拠していない（20年11月10日現在）。岡山県は、ＤＭＡＲＣの重要性についての理解を深め、至急、準拠を進めるべきだ。

全国で９県が導入せず

詳しくはこちら

　日本情報経済社会推進協会（ＪＩＰＤＥＣ）が10月20日、自治体が発信する「防災メールのなりすまし対策状況」の調査結果を公表した。６～８月に都道府県と市区町村、全国１７８８自治体を対象に調査を行った結果、防災メールの発信元メールアドレスが確認できた自治体は、１０２６団体。このうちＳＰＦに対応していた自治体が90％（９２３団体）、ＤＭＡＲＣに対応していた自治体が14・２％（１４６団体）であった。

　特に青森、石川、兵庫、鳥取、山口、徳島、香川、高知の８県は、県下にＤＭＡＲＣを設定している市町村がないことが分かった。

　香川県といえば菅政権で新設のデジタル担当大臣に任命された平井卓也氏のお膝元だ。自治体の情報セキュリティーに対するリテラシーの低さが憂慮される。※地方自治体へのアンケートの解説はこちら

　地方自治体の危機意識のなさは国の政策にも表れている。内閣府（www.cao.go.jp）や総務省（www.soumu.go.jp）、内閣サイバーセキュリティセンター（www.nisc.go.jp）といった政府機関のメールアドレスもＤＭＡＲＣには対応していないのだ。