テクノロジーサイバー攻撃で滅びる日本

「偽メール」対策なき自治体で危険にさらされる“情報”と“人命”=山崎文明

    台風で堤防が決壊した岡山県倉敷市真備町の末政川場 幾島健太郎撮影
    台風で堤防が決壊した岡山県倉敷市真備町の末政川場 幾島健太郎撮影

     自治体・政府の偽メール対策が、国民を命の危険にさらしている。大雨などの防災警報のメールが迷惑メールに振り分けられ、届けるべき国民に届かない事態が発生、メールが正しいタイミングで住民に届いていれば災害を免れ避難できていたかも知れないのだ。デジタル庁創設を掲げている菅義偉政権はこの対策こそ迅速に行うべきだ。※特集「サイバー攻撃で滅びる日本」はこちら

     電子メールが正しい送信者から送られているメールかどうかを自動的に検証するには、次の二つの方法がある。

    (1)SPF

    (Sender Policy Framework)

    (2)DMARC

    (Domain-based Message Authentication, Reporting and Conformance)

     電子メールを受け取ったときの送信者のメールアドレスは、郵便に例えるなら便箋に書かれた送り主の名前だ。これとは別に電子メールには、封筒に該当する特別な操作をしなければ受信者の目には触れない送信者メールアドレスがある。便箋に書かれた送信者のメールアドレスは簡単に書き換えることができ、送信者を偽ることができるのだ。

     まず、SPFは、この便箋に書かれた送信者のメールアドレスと封筒に書かれた送信者のメールアドレスの一致を確認する技術だ。

     一方、DMARCとは、SPFの機能に加えて電子メールの電子署名を確認することで送信者の正当性を確実にする技術だ。

     このうち、非常に簡単に設定できるのがDMARCである。誰でも無料で利用でき、設定時間は20分から最大で4時間だ。送信ドメイン認証できるSPFとDMARCが設定されていないと受信者にメールが届かない可能性が高くなる。つまり生死に関わる防災メールを確実に着信させるための必須技術なのである。

    岡山県の悲劇

    詳しくはこちら

     2018年7月、岡山県の「大雨特別警報」を知らせるメールが「迷惑メール」と判断され、3000人に配信できず、延べ192万通の配信が最大2時間遅延した事件が発生した。

     岡山県豪雨災害検証委員会が19年2月に出した「豪雨災害検証報告書」では、「放流情報については、防災情報メールの登録者にメール配信しているが、放流予告情報についてもメール配信できるようシステム改修を行う」との記述はあるが、正規の防災情報メールが迷惑メールに仕分けされた問題は一切触れられていない。2時間もの間、警報メールが届かなかったことは、死者68人、行方不明者3人、負傷者177人を出した一つの大きな原因ではないか。

     岡山県がDMARCに準拠してさえいれば防災メールが迷惑メールに仕分けされ、届かないという事態を回避でき、これほど多くの死傷者も出なかったはずだ。岡山県の電子メール(www.pref.okayama.jp)は今もDMARCに準拠していない(20年11月10日現在)。岡山県は、DMARCの重要性についての理解を深め、至急、準拠を進めるべきだ。

    全国で9県が導入せず

    詳しくはこちら

     日本情報経済社会推進協会(JIPDEC)が10月20日、自治体が発信する「防災メールのなりすまし対策状況」の調査結果を公表した。6~8月に都道府県と市区町村、全国1788自治体を対象に調査を行った結果、防災メールの発信元メールアドレスが確認できた自治体は、1026団体。このうちSPFに対応していた自治体が90%(923団体)、DMARCに対応していた自治体が14・2%(146団体)であった。

     特に青森、石川、兵庫、鳥取、山口、徳島、香川、高知の8県は、県下にDMARCを設定している市町村がないことが分かった。

     香川県といえば菅政権で新設のデジタル担当大臣に任命された平井卓也氏のお膝元だ。自治体の情報セキュリティーに対するリテラシーの低さが憂慮される。※地方自治体へのアンケートの解説はこちら

     地方自治体の危機意識のなさは国の政策にも表れている。内閣府(www.cao.go.jp)や総務省(www.soumu.go.jp)、内閣サイバーセキュリティセンター(www.nisc.go.jp)といった政府機関のメールアドレスもDMARCには対応していないのだ。

    英国は1日5万通を回避

     英国政府は16年10月に「go.uk」というメールアドレスのドメインを使用しているすべての政府機関に、DMARCの導入を完了したと発表した。その結果、英財務省だけで、同省になりすました偽メール(フィッシングメール)を1日当たり5万8000通も減らせたことを明らかにした。

     英財務省は、英国民にメールを送っているが、財務省から届くメールは信頼されやすく、被害も大きかった。英国歳入関税庁(HMRC)でDMARCの普及に尽力したサイバーセキュリティーの元責任者エド・タッカー氏は、「DMARCは電子メールの信頼性を取り戻す技術的な基盤になりうる」としている。

       *   *   *

     デジタル社会の実現のためにも日本政府は今こそ国を挙げてDMARCの普及に取り組むべきだ。

     そのためにはまず、日本政府が英国政府に倣ってDMARCに準拠することの模範となるべきである。

    (山崎文明・情報安全保障研究所首席研究員)

    インタビュー

    週刊エコノミスト最新号のご案内

    週刊エコノミスト最新号

    12月15日号

    税務調査 コロナでも容赦なし!16 コロナ「中断」から再開 効率化で申告漏れ次々指摘 ■種市 房子19 元国税局芸人に聞く! さんきゅう倉田「手ぶらでは調査から帰らない」23 国税の「最強部隊」 「資料調査課」の実態に迫る ■佐藤 弘幸24 「やりすぎ」注意! 死亡直前の相続税対策に相次ぎ「待った」 [目次を見る]

    デジタル紙面ビューアーで読む

    おすすめ情報

    最新の注目記事