「なりすまし」 されないために できること

筆者:JIPDEC
インターネットトラストセンター 企画室
高倉 万記子

 毎日のように聞こえてくるネットの世界でのなりすまし報告。金融機関や有名企業になりすまして個人情報、クレジットカード情報を盗むような話は日常茶飯事です。企業が顧客とのやり取りにメールを使うことから、なりすましメールも蔓延しています。

メールの本文からなりすましと判断するのは難しいこともありますが、そのメールが本当にその人や企業から発信されているのか、一目で判別できる方法があります。それがS/MIMEです。これは電子証明書を利用して相手に送信する方法で、電子署名が付いているとユーザが目視でなりすましメールでないことを確認できます。また、暗号化できて盗聴も防げますし、メールが改ざんされていないことも検証できます。マイナンバーカードを使って自分の情報を確認することができるマイナポータルが稼働していますが、ここから発信されるお知らせメールもS/MIMEを利用しています。

マイナポータル 

セキュリティに関する注意

 S/MIMEは電子証明書を持っていてメーラー(メールソフト)が対応さえしていれば誰でも簡単に設定できます。言い換えればS/MIMEは送受信側双方でメーラーが対応していないと利用できないという欠点があり、ガラケーやスマホでは対応しているブラウザ・アプリなどないため、確認が困難です。さらにS/MIMEを使うにはクライアント側で証明書が必要になるというハードルがあります

 ドメインでなりすましメールを判別するDKIMという技術なら電子証明書は不要です。DKIMについては一般財団法人インターネット協会「有害情報ポータルサイト迷惑メール対策編」の技術解説ページが詳しいです。

一般財団法人インターネット協会

「有害情報ポータルサイト迷惑メール対策編」

技術解説ページ

 ただし、この技術の欠点は受信者側では送られてきたメールが対応しているか否か確認できないということです。そこで、このDKIMを可視化する「安心マーク」という仕組みを構築し、ヤフー株式会社、ニフティ株式会社、株式会社コミュニティネットワークセンターのwebメーラーで表示させられるようにしています。最近ここに新たに株式会社クオリティアの標的型メール対策ソリューションも加わりました。上記の各社サービスにおいて、自社が送るメールに安心マークを表示させるには当協会への申し込みが必要ですが、近年、金融機関や自治体からの問い合わせが増える一方です。

 当協会ではこれらのなりすましメール対策(S/MIME、DKIM、安心マーク)を推進しています。
 ちなみに、S/MIMEで使う電子証明書は、クライアント認証や電子文書の改ざん防止にも使うことができます(※電子証明書によっては対応していないものもあります)。民間企業間では電子契約システムの普及に伴い、電子証明書の発行枚数は増加の一途を辿っています。最初は印紙税不要ということが電子契約システム導入の牽引材料であったものの、導入後は印紙税の削減効果よりも、電子化することによるコスト削減効果の方が大きいそうです。

 そういえば前職で調達事務をやっていたとき、契約書を2部作製して、製本テープをシワができないように貼り、収入印紙が正しく貼られていることを確認し、割印を押し、という地道な作業をやっていました。会計検査が入ることになったときは、どこに調査対象の契約書があるか、たくさんの帳簿のなかから探し出して、綴じられた契約書を1ページ1ページ捲ってスキャンして提出していたことも記憶に新しいです。
民間の中でいくら電子契約が普及しても、役所と契約することになると、民間は同じように紙の契約書で同じようなことをやるようになるわけですから、民のコスト削減のためにも、行政機関と民間における契約においても電子契約が普及すればよいと思います。

 私の前職は自治体の職員でしたが、昨年度まで関わっていた医療保険の仕事では、医療費の還付金詐欺が蔓延していました。詐欺実行犯は役所や役場の職員になりすまし、銀行の前に行ったら銀行員になりすました共犯者がいるなど、演劇の世界さながらでした。ターゲットとなった高齢者の中には詐欺と気づく方もいれば、騙されATMから振り込んでしまっている方も何人もいらっしゃいました。
 自治体や警察からは「電話をかけることはない」「ATMの操作をお願いすることはない」と、本来の役所の行動と照らし合わせて詐欺に引っかからないよう啓発活動をしていました。15年ほど前に住民窓口で仕事をしていた頃は書類不備や申請の督促で住民に電話することは普通だったので、行政側としては住民と連絡が取りにくくなってしまったということにもなっています。
詐欺対策の啓発活動において、銀行員や自治体の職員であることを確認する術についてはあまり触れていなかったように思います。ですが、高齢者の中には非通知で電話がかかってくることや喋り方に違和感を覚えて、市役所あるいは町村役場に電話をかけなおして気づかれる方もいました。住民にとって役所がどんな手法でコンタクトを取ってきて事務処理をするか、ということには馴染みがなくとも、相手が本当にその職業なのかその地方の人なのか、ということの方が判別しやすいのではないでしょうか。 

 電話やファックスが普及していったように、今後、全国の自治体でもメールを使う機会は増えていくでしょうし、それにあわせて地方の事業者もメールを使ったやり取りはきっと増えていくことでしょう。それに伴い悪意を持った人たちが自治体や事業者と詐称して個人情報を狙ったりフィッシング詐欺を働こうと考えるのは想像に難くありません。

 自治体はマイナンバー制度の施行や個人情報の漏洩事件を受け、セキュリティ強靭化対策と称して受信対策の強化は進んだようですが、送信者側の対策はそれほど普及していないようです。例えば最も普及している送信ドメイン認証技術であるSPFですが、平成29年3月に発行された地方自治情報管理概要(47ページ)によると、平成28年4月1日時点で都道府県では76.6%が対応している一方で市区町村は41.2%しか対応していません。

地方自治情報管理概要

~電子自治体の推進状況(平成28年4月1日現在)~

総務省 自治行政局 地域情報政策室

 なりすましメールを受け取った人が騙されて、なりすましメールと判別できないメールを送った正規の事業者が非難されないよう、メールの送信側が責任を持つことができる仕組みが必要ではないかと思います。また、受信する側にばかり対策のコストをかける風潮もいかがなものかと思いますし、送信者側のなりすましメール対策は受信者へのマナーの一つではないかと考えます。

(2017年11月掲載)

ページの先頭へ戻る