ニューストピックス

-News Release-
防災メールのなりすまし対策の強化が急務
-JIPDECとTwoFiveが自治体防災メールなりすまし対策状況調査結果公表-

2020年10月20日

一般財団法人日本情報経済社会推進協会(法人番号:1010405009403)
株式会社TwoFive(法人番号:4012701012582)

 一般財団法人日本情報経済社会推進協会(所在地:東京都港区、会長:杉山 秀二、以下: JIPDEC)は、株式会社TwoFive(所在地:東京都中央区、代表取締役:末政 延浩、以下:TwoFive)と共同で自治体が発信する防災メールのなりすまし対策状況(SPFとDMARCの設定状況)について調査を行いましたので、その結果を公表します。

 調査結果のポイントは以下の3点です。


1.防災メール発信を行っている自治体は全体の62.8%

2.なりすまし対策のSPFとDMARCは両方設定していないとなりすましメールと判断されることがあるが、SPF の設定は全体の90%なのに対しDMARCの設定ができている自治体は14.2%

3.都道府県別の設定割合ではSPFもDMARCも両方設定できている自治体は、どの都道府県も50%未満

※SPFとDMARCは両方とも設定しておかないと、受信側の設定によってはなりすましメールと判断されることがあります。
SPF(Sender Policy Framework)
 送信元が自分たちがメールを送るときに使用するIPアドレスを登録しておく仕組みで、電子メールの送信者の詐称を防ぐ技術の1つとして、普及している技術。SPFが設定されていないメールは受信者によっては迷惑メールと判断されたり、受信拒否されることがあります。
 
DMARC(Domain-based Message Authentication, Reporting, and Conformance)
 電子メールの送信者の詐称を防ぐ技術で、SPF等が設定されていない、またはSPF等により正規のルートで送られていないと判断されたメールを受信側がどう扱うべきかを送信元が宣言することができる仕組み。英国政府や米国政府では詐称メールを駆除するように設定しており、迷惑メールの削減に貢献しています。

調査の背景

 自然災害、害獣など住民の生命や財産に被害が想定される脅威、もしくは既に発生しているという情報を各自治体が電子メールで登録したメールアドレスに送るサービスは防災メールと呼ばれています。災害情報は災害行政無線、アプリ、エリアメールなどいろんな情報伝達手段がありますが、電子メールは、配信登録さえすれば、離れたところに暮らす家族も確認できるというメリットがあります。

 一方で、なりすまし対策をしておかないと受信者側で迷惑メールと判定され、メールが迷惑メールフォルダに入ってしまうなど相手に届きづらくなる恐れがあります。また、迷惑メール送信者とみなされると、メールを送ること自体ができなくなることもあります。

 実際に2018年7月にも、岡山県の大雨特別警報を知らせるメールが迷惑メールと判断され、3千人に対し配信できなくなり、延べ192万通の配信が最大2時間遅延したという事件が発生しています。このため、総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成30年9月版)にも、なりすまし対策として送信ドメイン認証技術を採用しなければならないと記載されています。

調査の方法と調査対象

 調査は、2020年6月から8月にかけて都道府県と市区町村、全国あわせて1,788自治体を対象に、Webサイトの目視調査を行いました。

 1,788自治体で防災メールを配信していることが確認できた1,122自治体(62.8%)のうち、配信サービスを行っていて、かつメール配信登録前に送信者メールアドレス(ドメイン)を確認することができた1,026自治体について、送信ドメイン認証技術であるSPFとDMARCの設定状況を調査しました。(図1)

図1.都道府県と市区町村の防災メール配信状況

調査結果

防災メールのSPFとDMARCの設定状況
 防災メールの発信元メールアドレスを確認できた1,026自治体のうち、SPFに対応していたのが923自治体(90.0%)で、DMARCに対応していたのが146自治体(14.2%)でした。SPFとDMARCを両方とも設定していたのは144自治体(14.0%)のみでした。(図2)

図2.防災メールのSPFとDMARCの設定状況

 なお、1つの自治体で配信メールアドレスが複数あった場合、全てのメールアドレス(ドメイン)が対応していた場合のみ、設定ができているものとしました。

都道府県別のSPFとDMARCの設定割合
 都道府県別に設定割合を確認したところ、SPFは70%~100%の自治体が設定していましたが、SPFもDMARCも設定できている自治体は50%もありませんでした。青森県、石川県、兵庫県、鳥取県、山口県、徳島県、香川県、高知県の8県はSPFとDMARCの両方を設定してメールを送信できている自治体がない県でした。(図3)

図3.SPFとDMARCの設定割合(都道府県別)

 SPFの設定自治体の割合と、SPFとDMARCの両方を設定している自治体の割合を比較したところ、各都道府県ともに、SPFとDMARCの設定割合に大きな乖離が発生していることが確認できます。

まとめ

 今回の調査結果から、9割の自治体がSPFを設定しつつも、SPFだけでなくDMARCも設定している自治体は14%と低く、SPFの設定率と乖離が生じていることがわかりました。

 両者の設定方法はほぼ同じなためSPFが設定できればDMARCも設定できるはずですが、SPFに比べDMARCは技術として新しいため、あまり認知されていないからではないかと考えられます。

 発注元である自治体が送信ドメイン認証を理解することも必要ですが、防災メール配信は委託業者が配信することも多いため、委託先がDMARCの設定ができるかどうかが重要なポイントとなります。

 送信ドメイン認証であるSPFとDMARCが設定されていないと、相手にメールが届かない可能性が高くなります。
 すぐに情報を届けることが生死に関わる性質のメールを確実に届けるために、自治体はITベンダーへの防災メール配信を業務委託する場合、業務委託時には仕様書に必須要件として記載する等、送信者側で送信ドメイン認証の設定をしておくことが重要です。

 そもそも、防災メールの配信元の情報にアクセスすることが簡単ではないということがわかりました。「自治体名+防災メール」と検索しても、自治体保有のページではないサイトが検索結果の上位に現れるという検索サイトの機能による原因もありますが、自治体のサイト自体もそれが本当に自治体のサイトなのかドメインから判別ができかねるサイトもありました。都道府県や気象台のリンクからたどり着ける自治体もありましたが、リンクが既に無効になっている自治体もありました。サイトのリニューアル前のページにリンクが残っていてリニューアル後のトップページに飛ばされてしまいそこからたどり着けなくなることもあり、住民に必要な情報を届けるという目的に沿ったITの利活用の必要性を改めて感じました。

 安心、安全なインターネットの利用を推進しているJIPDECとしては、今後も、わが国のなりすましメール対策の普及状況を調査し、随時情報発信していきます。


■本件についてのお問い合わせ先
一般財団法人日本情報経済社会推進協会(JIPDEC)
インターネットトラストセンター