「大雨特別警報を知らせるメールが届かない」 JIPDECが自治体の防災メールなりすまし対策状況を調査：災害情報を電子メールで配信する自治体が増加

JIPDECが実施した、自治体が発信する防災メールのなりすまし対策状況に関する調査によると、SPFを設定している自治体は全体の90％なのに対して、DMARCを設定している自治体は14.2％だった。

[＠IT]

　日本情報経済社会推進協会（JIPDEC）は2020年10月20日、TwoFiveと共同で実施した、自治体が発信する防災メールのなりすまし対策状況（SPFとDMARCの設定状況）に関する調査の結果を発表した。それによると、防災メールを発信している自治体は全体の62.8％で、SPF（Sender Policy Framework）を設定している自治体は全体の90％なのに対して、DMARC（Domain-based Message Authentication, Reporting, and Conformance）を設定している自治体は14.2％だった。

全国の1788の自治体を対象に調査

　SPFとDMARCは、どちらも電子メールの送信者の詐称を防ぐ技術。SPFは、送信元がメールを送るときに使用するIPアドレスを登録しておく仕組みで、これが設定されていないメールは、迷惑メールと判断されたり、受信拒否されたりすることがある。一方のDMARCは、SPFが設定されていないなど正規のルートで送られていないと判断されたメールを受信側がどう扱うべきかを送信元が宣言できる仕組み。

都道府県と市区町村の防災メール配信状況（出典：JIPDEC）

　今回の調査は、全国の1788の自治体を対象に実施した。防災メールを配信していることが確認できたのは、全体の62.8％に当たる1122自治体。そのうちメール配信登録前に送信者メールアドレス（ドメイン）を確認できたのは1026自治体だった。この1026の自治体について、SPFとDMARCの設定状況を調査した。

SPFとDMARCの両方を設定している自治体は50％以下

　最近、災害情報を電子メールで配信する自治体が増えてきているという。行政無線は大雨では聞こえにくくなるが、電子メールならばその心配はない。行政無線が届かない地域でも情報を受け取れる利点もある。ただし、自治体がなりすまし対策をしておかないと、受信者に迷惑メールと判定され、迷惑メールフォルダに入ってしまうなどの恐れがある。

　JIPDECによると、実際にそうした事例が過去にあった。2018年7月に岡山県の大雨特別警報を知らせるメールが迷惑メールと判断され、3000人に対して配信できなくなった。延べ192万通のメール配信が最大2時間遅延したという。

　SPFに対応していたのは923自治体（90.0％）。一方のDMARCに対応していたのは146自治体（14.2％）だった。都道府県別に見ると、各都道府県でSPFを設定している割合は70％以上とほとんどの自治体が導入している。ただし、SPFとDMARCの両方を設定している自治体は50％に満たなかった。青森県、石川県、兵庫県、鳥取県、山口県、徳島県、香川県、高知県の8県には、SPFとDMARCの両方を設定している自治体がなかった。

防災メールのSPFとDMARCの設定状況（出典：JIPDEC）

　DMARCの設定率が低い点についてJIPDECは、「SPFとDMARCの設定方法はほぼ同じでありSPFが設定できればDMARCも設定できるはずだが、SPFに比べてDMARCは技術として新しいため、あまり認知されていないのではないか」と推察している。