政府機関等をかたる - 内閣サイバーセキュリティセンター

報道発表
平成 24 年 4 月 19 日
内閣官房情報セキュリティセンター（NISC）
政府機関等をかたる「なりすましメール」対策について
～“.go.jp”のメールアドレスの真偽を確かめることが可能に～
政府機関では、内閣官房情報セキュリティセンター（NISC）が中心となり、政府機関及
び政府機関の職員をかたってメールを送りつける、いわゆる「なりすましメール」を検知
できるようにするための技術の一つである「送信ドメイン認証技術」の導入を推進してい
ます。昨日開催された第 5 回情報セキュリティ対策推進会議（CISO 等連絡会議）において、
大半の政府ドメイン（※）（xxx.go.jp）において、送信側における送信ドメイン認証技術 SPF
（Sender Policy Framework）の導入が完了した事が報告されました（導入率：サードレベ
ルドメインで約 97%（平成 24 年 3 月末時点））
。これにより、電子メールの受信側のメール
サーバが SPF を確認する設定になっていれば、政府機関職員のメールアドレスを詐称する
なりすましメールのほとんどを検知することができることから、官民を問わず、メールサ
ーバの運用者及びメール利用者においては、適切な対策の実施を推奨します。
１． 取組の背景
電子メールは、その仕組みの簡便さから、コミュニケーションツールの基盤として
広く普及しております。一方で、電子メール送信者の名前やメールアドレスは自称で
きることから、架空又は実在する第三者の名前やメールアドレスを無断で使用して、
迷惑メールやフィッシングメールなどを送信する犯罪行為が行われています。特に最
近では、政府機関職員になりすました電子メールが国民や民間企業、政府機関に送信
されており、それに含まれるコンピューターウイルスによってメール受信者の端末が
感染してしまうなどの被害も発生しております。
２． 取組の概要
政府機関は、
「政府機関の情報セキュリティ対策のための統一技術基準」に準拠して、
電子メールのなりすまし防止策の導入に全府省庁で取り組んできました。具体的には、
送信側における送信ドメイン認証技術 SPF の導入と、なりすましメールの温床となり
うる利用していないドメインの登録廃止をあわせて推進してきました。その結果、大
半の政府ドメインにおいて、送信側における SPF の導入が完了しました（導入率：サ
ードレベルドメインで約 97%（平成 24 年 3 月末時点））
。これにより、電子メールの受
信側のメールサーバが SPF を確認する設定であれば、
“.go.jp”で終わるような政府機関
職員のメールアドレスを詐称するなりすましメールのほとんどが検知でき、メールを
破棄することや、メールヘッダ情報で注意を促すなどの適切な対処ができる状態とな
りました。
３． メールサーバの運用者及びメール利用者への推奨事項
政府機関等をかたるなりすましメールによる被害を防ぐため、メールサーバの運用
者及びメール利用者は、以下の対策を実施されることを推奨します。
○
メールサーバにおいて SPF を確認する設定とする。
○
メールサーバにおいて SPF を確認することにより得られたなりすましメール
の検知結果を利用し、メール閲覧画面に注意喚起を表示したり、メールを破棄
したりするなどの設定とする。
（PC や携帯電話向けに提供される電子メールサ
ービスでは、
「迷惑メール対策」等の名称による機能により、これを行うことが
できます。）
○
政府機関職員からのメールは、送信者のメールアドレスが“.go.jp”で終わって
いることを確認する。
（送信ドメイン認証技術等の導入により“.go.jp”で終わる
メールアドレスのなりすましが困難になるものの、フリーメール等のアドレス
を用いたなりすましメールは依然として送りつけられると思われます。）
○
不審なメールにアクセスしない。知らないメールアドレスからのメールや、身
に覚えのないメールを受信した時は、メール本文に記載のあるウェブアドレス
（URL）にアクセスしたり、添付ファイルの閲覧や実行をしたりしない。
４． 今後の取組
NISC においては、引き続き、政府機関等をかたる「なりすましメール」対策を推進
し、情報セキュリティの向上に努めてまいりたいと考えております。
（※）
政府ドメイン：GO.JP ドメインのうち、立法機関、司法機関及び特殊法人等が管理
しているものを除いたもの。
【本報道発表に関する問い合わせ先】
内閣官房情報セキュリティセンター
内閣参事官
木本裕司
電話 03-3581-3959（センター代表）