2021年12月21日

一般財団法人日本情報経済社会推進協会（法人番号：1010405009403）

フィッシング対策協議会

株式会社TwoFive（法人番号：4012701012582）

国の行政機関が発行するメールマガジンのなりすまし対策状況の調査結果を公表 ～６割超の機関が複数の送信ドメイン認証を組み合わせて対策を強化するも、 対策が可視化できるS/MIMEの導入は16.7%のみ～

一般財団法人日本情報経済社会推進協会（東京都港区、会長：杉山　秀二／以下、JIPDEC）は、フィッシング対策協議会（東京都千代田区、会長：岡村　久道）、株式会社TwoFive（所在地：東京都中央区、代表取締役：末政　延浩、以下：TwoFive）と協力して、国の行政機関が発行しているメールマガジンのなりすまし対策の状況を調査し、結果を公表しました。

2021年5月から7月にかけて、省庁など国の行政機関から発行されているメールマガジンの調査を行ったところ、99件のメールマガジンを確認できました。（メールマガジンの発行を確認した行政機関：首相官邸、内閣官房、人事院、内閣府、公正取引委員会、消費者庁、復興庁、総務省、法務省、出入国在留管理庁、外務省（大使館を除く）、財務省、国税庁、文部科学省、厚生労働省、農林水産省、経済産業省、資源エネルギー庁、特許庁、中小企業庁、国土交通省、観光庁、運輸安全委員会、環境省、防衛省、国立国会図書館）

そのうち制約なく受信登録ができたのが85件でした。このうち仮登録・本登録・本文で使われているメールアドレスを確認できたのが72件でした。今回のなりすまし対策の調査は、この72件のメールアドレスに対してS/MIME※1、SPF※２、DKIM※３、DMARC※４の対応状況を調査しました。（以下、割合は少数第2位四捨五入）

その結果、S/MIMEだけ対応しているメールアドレスはありませんでした。一番多かったのが、SPFとDKIMの両者のみ対応をしているメールアドレスで30件（41.7％）でした。SPFだけ対応しているメールアドレスが21件（29.2％）、S/MIMEとSPFの両者のみ対応しているメールアドレスが12件（16.7％）、S/MIMEは対応しておらずSPF,DKIM,DMARCの三者に対応しているメールアドレスが6件（8.3％）でした。SPFとDMARCの両者のみが１件、DKIMだけ対応しているのが１件、どの対応もできていないのが1件（1.4％）ずつありました。なお、いずれにも対応できているメールアドレスはありませんでした。（表1参照）

S/MIMEに対応したメールアドレスは全体の16.7％の12件でした。具体的には、経済産業省、特許庁、資源エネルギー庁のメールマガジンの全部または一部が対応していることを確認することができました。（表２参照）

また、S/MIMEを設定しているメールアドレスは、SPFも設定できていましたが、DKIM、DMARCは設定できていませんでした。（表3参照）

SPFは70件（97.2％）と殆どのメールアドレスが対応していましたが、設定がないものが１件（1.4％）、設定に誤りがあるものが1件（1.4％）みつかりました。SPFの設定がないものは、DKIM、DMARCは設定していました。SPFの設定無効のものは、DKIMは設定がなく、DMARCが設定誤りとなっていました。（表4参照）

DKIMの設定ができているのは半数以上の37件（51.4％）で、そのうちDMARCができているのは６件（18.8％）でした。DKIMの設定がないのが32件（44.4％）、設定誤りが3件（4.2％）となっていました。（表5参照）

DMARCの設定は7件（9.7％）できており、7件ともSPFは設定できていて、DKIMは6件設定できていました。

DMARCを設定できていないのが半数以上の38件（52.8％）でした。設定に不備があるものがあわせて27件（37.5％）となっていました。（表６参照）

※

政府のサイバーセキュリティ対策本部が作成している政府機関等の対策基準策定のためのガイドライン（令和3年度版）では、基本対策事項として以下のとおり記載されています。

「7.2.1(1)-2 情報システムセキュリティ責任者は、以下を例とする電子メールのなりすましの防止策を講ずること。 SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、 DMARC （ Domain-based Message Authentication, Reporting & Conformance）等の送信ドメイン認証技術による送信側の対策を行う。 SPF、DKIM、 DMARC 等の送信ドメイン認証技術による受信側の対策を行う。 S/MIME（Secure/Multipurpose Internet Mail Extensions）等の電子メール における電子署名の技術を利用する。」

「7.2.1(1)-3 情報システムセキュリティ責任者は、以下を例とする電子メールの盗聴及び改ざんの防止策を講ずること。 SMTP によるサーバ間通信を TLS により保護する。 S/MIME等の電子メールにおける暗号化及び電子署名の技術を利用する。」

https://www.nisc.go.jp/active/general/kijunr3.html

なお、内閣府消費者委員会からは、警察庁、総務省、経済産業省及び消費者庁に対し、フィッシングメールの受信防止対策として、送信ドメイン認証技術（SPF、DKIM、DMARC）の導入を普及促進することという意見が2020年12月3日付けで出されています。

https://www.cao.go.jp/consumer/iinkaikouhyou/2020/1203_iken.html

＜そのほか気づいた点＞

殆どのメールアドレスは政府ドメインであるgo.jpドメインを使っていましたが、go.jpドメインでないメールアドレスが2件ありました。政府機関等の対策基準策定のためのガイドライン（令和3年度版）では、情報システムの利用において、遵守事項の (4) 電子メール・ウェブの利用時の対策に以下の記載があります。「(b) 職員等は、機関等外の者と電子メールにより情報を送受信する場合は、当該電子メールのドメイン名に政府ドメイン名を使用すること。」

JIPDECとフィッシング対策協議会、TwoFiveは、今回設定されてない、または不備があるメールアドレスの管理者に向けて情報提供を行うとともに、今後もインターネット上のなりすましにおいて、対策の普及啓発を行ってまいります。

※１　S/MIME
電子証明書を用いた電子メールのなりすまし対策技術のひとつ。送信メールに電子署名をすることで、受信者側はその本人から送信されていることが確認でき、また改ざんを検知することができる。送信内容を秘匿する暗号化をすることもできる。

※２ SPF

送信元が自分たちがメールを送るときに使用するIPアドレスを登録しておく仕組みで、電子メールの送信者の詐称を防ぐ技術の1つとして、普及している技術。SPFが設定されていないメールは受信者によっては迷惑メールと判断されたり、受信拒否されることがあります。

※３ DKIM

電子署名を利用した、電子メールの送信ドメイン認証技術のひとつ。メールヘッダや本文をもとに電子署名を行うため、通信途中で送信者のなりすまし、メール本文の改ざんが行われていないかがわかる。

※４ DMARC

電子メールの送信者の詐称を防ぐ技術で、SPF等が設定されていない、またはSPF等により正規のルートで送られていないと判断されたメールを受信側がどう扱うべきかを送信元が宣言することができる仕組み。英国政府や米国政府では詐称メールを駆除するように設定しており、迷惑メールの削減に貢献しています。

【JIPDECについて】

会社名: 一般財団法人日本情報経済社会推進協会（法人番号: 1010405009403）

所在地: 東京都港区六本木一丁目9番9号 六本木ファーストビル内

URL: https://www.jipdec.or.jp/

設立: 1967年12月20日

会長:　杉山　秀二

概要：

JIPDECは、1967年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度の運営や、メールのなりすまし対策や電子証明書を発行する認証局等の信頼性を評価するトラストサービス評価事業等、個人情報の取扱いやプライバシーガバナンス等、情報の保護と活用に関する調査研究・政策提言等を行っています。

【フィッシング対策協議会について】
会社名：フィッシング対策協議会
事務局：一般社団法人 JPCERTコーディネーションセンター
所在地： 〒103-0023　東京都中央区日本橋本町4－4－2　東山ビルディング8階
URL： https://member.antiphishing.jp/
設立： 2005年4月28日
会長： 岡村　久道
概要：
フィッシング対策協議会は、2005年に発足し会員である民間企業、団体相互の共助を主軸に、官民・海外関係機関との連携を図りつつ、深刻化・悪質化するフィッシング詐欺への対処を行ってまいりました。そして社会インフラとして欠かせない様々なオンラインサービスを、消費者が安全に利用できる健全な情報化社会の実現を目指して活動を行っております。

【株式会社TwoFiveについて】
名　称：株式会社TwoFive
法人番号：4012701012582
代表者：末政　延浩
所在地：〒103-0027　東京都中央区日本橋3-1-4　画廊ビル３F
URL： https://www.twofive25.com/
株式会社TwoFiveは、日本の電子メール環境を向上させることを使命としてベンダーニュートラルな立場で最適な技術とサービスを組み合わせ、メールシステムの設計・構築、電子セキュリティなどについてコンサルティング、ならびに各種レピュテーションデータを提供しています。本共同調査においては、SPFとDMARCの設定を調査しました。また、国内最大のメールセキュリティベンダーとして、DMARCを普及するとともに、DMARCレポートの機能提供を行っています。

■S/MIMEについてのお問い合わせ先

 一般財団法人日本情報経済社会推進協会（JIPDEC）

担当：佐藤

お問い合わせフォーム　https://www.jipdec.or.jp/itc_inquiry.html