サイバー空間に横行するなりすましメールやフィッシングメール。これらへの対策を進めるには、通信事業者やセキュリティ企業など民間側はもちろん、政府・官公庁の力も不可欠だ。
こうした背景から、2022 年 11 月に開催された JPAAWG 5th General Meeting の「サイバー事案の事例と警察・総務省の取組ーフィッシング対策を中心にー」と題するセッションでは、サイバー犯罪の取り締まりに当たる警察庁、情報通信ネットワークの安全性確立に取り組む総務省の取り組みが紹介された。
●組織化した金銭狙いのサイバー犯罪に悪用されるフィッシング
警察庁のサイバー警察局サイバー企画課でフィッシング対策に取り組んでいる清川 敏幸 氏は、フィッシングメールに起因する犯罪の検挙事例や最新情勢を紹介し、その上で警察庁がどのような対策を進めているかを説明した。
1 つ目の検挙事例は、メモアプリに対するフィッシングメールが最初のきっかけとなって不正送金につながった事件だ。ユーザーが入力したアカウント情報が売り渡され、メモアプリに保存されていたアカウント情報を用いてネットバンキングになりすましアクセスを行い、億単位の不正送金が行われてしまったという。
「実は、メモアプリに ID やパスワード、第二認証コードを保存している方がけっこう多く、犯人はそれを使って一気にネットバンクへの不正送金を行いました」(清川氏)。犯人は入金された金銭をすぐにビットコインに替え、自分のウォレットに送金する形でマネーロンダリングを行っていたが、不正アクセス禁止法によって検挙したという。
2 つ目の検挙事例はより大がかりだ。クレジットカード情報をダークウェブから購入した犯人A が、犯人B と C に情報を渡し、それぞれ異なる方法で現金化していた。犯人B は ECサイトで注文を行い、商品を受け取った受け子等がこれを売り払い、現金化していた。一方犯人C は買い子を複数募集し、買い子はそれぞれ他人のカード情報を用いて家電量販店で商品を購入し、リサイクルショップで売って現金化していたという。この事案ではのべ 14 人が、詐欺や電子計算機詐欺、古物営業法違反、そして不正アクセス禁止法で逮捕に至った。
「当初犯人A はダークウェブからクレジットカード情報を購入していましたが、自分でフィッシングサイトを作った方が早いと考え、後にフィッシングサイトを構築しました。」(清川氏)という具合に、複数の犯人が組織化されていた。
警察庁では JPCERT/CC と定期的に情報交換しながらフィッシング詐欺の状況を調査している。「2022 年の数字を見ると、4 月にはペイメント系が増加しました。また注目すべきは 8 月以降で、銀行系のフィッシングが非常に増えている点が目に付きます」(清川氏)
一方、インターネットバンキングの不正送金被害状況を見てみると、2 年ほど前に流行し、いったん下火になった被害が 8 月から再び増加してしまった。その要因としては、銀行系フィッシングメールの増加が考えられるという。この状況を踏まえて警察庁は金融庁と連携し、全銀協などの業界団体向けにフィッシング対策を要請した。
2022年8月・9月に銀行系フィッシングが急増
●少しずつ進み始めた官民連携、情報を共有し対策に反映
清川氏は昨年からフィッシング対策を担当することになり、フィッシングサイトを作られてしまうホスティング事業者やレジストラ、メッセージを配信する通信事業者やハブ事業者、そしてテイクダウンを担うフィッシング対策事業者やセキュリティ事業者、ブラウザ事業者などさまざまなステークホルダーを訪ねて回り、どんな対策が可能か、どうすれば被害を減らせるかについて情報交換を行ってきた。今、少しずつその成果が現れ始めているという。
1 つは、NTTドコモが開始した SMS拒否設定だ。このフィルタリング向けに、日本サイバー犯罪対策センター(JC3)が NTTドコモに情報を提供し、連携して対策に当たっている。
現に、SMSメッセージを用いて「未納料金がある」とだまして金銭を要求する架空請求詐欺の被害額が、SMS拒否設定を開始した翌月の 4 月には前月の半分に減少するという成果が出ている。「いたちごっこの部分もあり大変ですが、非常に有効であり、これからも継続していきたいと思います」と清川氏は述べた。
また、全国の警察に対して届け出のあった偽サイトの情報を集約し、いわゆるウイルス対策ソフトウェアやエンドポイントセキュリティ製品を提供するベンダー15社に提供し、それぞれの製品で警告を出したり、フィルタリングに活用する取り組みも進めている。
「4 月に全国の警察に対してフィッシングサイトの情報を集めるよう指示を出しました。最初はあまり反応がありませんでしたが、徐々に各県警からフィッシングサイトの URL が集まるようになってきました」(清川氏)。他に、アクシオンから不正な URL情報を共有するといった形でも官民連携を行っている。
●BIMI などとセットで DMARC を推進し、「手元に届かせない」対策を
DMARC についても、消費者委員会の「フィッシング問題への取組に関する意見」を踏まえ、いよいよ積極的に推進し始めた。
ちなみに清川氏は、送信ドメイン認証技術の 1 つである SPF については以前から認識していたそうだ。10 年ほど前に検挙した「出会い系サイト」の事務所に踏み込んだとき、反社勢力の一員が SPF を設定しているのを目の当たりにしたことがきっかけだという。
「その組織では約 3,000 のドメインを所有し、毎日入れ替えながら使っていました。そこで彼らが毎朝行っていたのが、その日使うドメインに SPFレコードを設定する作業でした」という。思わず清川氏が「これ、一体何をやってるの?」と尋ねたところ、「SPF を設定しています。そうしないと届かないですから」と反社勢力のメンバーから答えが返ってきたそうだ。
それから 10 年を経て DMARC の推進に取り組むことになったわけだが、「やはり、DMARC で reject のポリシーを設定しているユーザーさんについては、(なりすましメールが)減る傾向にあるように見えます」(清川氏)
ただ、DMARC を導入するには、そのドメインを持っている企業はもちろん、メールサーバの管理を行う事業者側においても対応が必要だ。さらに、金融庁や経産省、総務省など各省との連携も必要だと考えているという。
DMARC普及に向けてさまざまな関係者と意見を交わす中で、率直な意見をもらう場面もあるそうだ。「社内メールの棚卸しを進め、年単位の時間をかけてやっと reject のポリシーを設定できるため、『これは大変です』と皆さんおっしゃいます」(清川氏)のが実情だが、総じて効果も感じているという。
「DMARC はフィッシング対策の要素の 1 つだと考えています。DMARC だけではなく、ヤフーが提供する『ブランドアイコン』や NTTドコモの『公式アカウント』、そして BIMI などにも対応していく必要があることをお話ししています」(清川氏)
最後に清川氏は、「警察におけるこれまでの対策は、基本的に『公式アプリやお気に入りを使いましょう』『メールにあるリンクはクリックしないようにしましょう』といった利用者への注意喚起が中心でした。しかし、やれることはもっとあるのではないかというのが今日の気付きです」と述べた。
これから必要なのは「そもそも利用者に届かせないような対策」であり、具体的には送信者、受信者双方の DMARC対応が該当する。もちろん DMARC は万能ではないが、BIMI や公式ブランドアイコンといった「正規のメールを判別しやすくなる対策」とセットで推進していくべきだとした。
●ネットを流通するメールの半数近くを占める迷惑メール
続けて、総務省総合通信基盤局電気通信事業部消費者行政第二課の小澤 孝洋 氏が登壇した。小澤氏の部署では電気通信事業者、通信事業者を所管する部署の中でも、特にさまざまなトラブル、具体的には特殊詐欺や迷惑メール、フィッシングメール対策などに携わっている。
小澤氏はまず、迷惑メール対策センターが総務省の委託事業を兼ねてまとめている調査情報を紹介した。「我が国の電気通信事業者が受信したメールの中で迷惑メールが占める割合は、現在約 4 割。メールとして流通しているデータ量の 4 割が迷惑メールとなっており、トラフィックそのものにも負荷を及ぼしていると思います」(小澤氏)
さらに内訳を見てみると、PCメールアドレス宛の迷惑メールのうち 6 割前後、携帯メールアドレス宛となると約 9 割が海外から来ていることが確認できたという。「国別に見てみると、数年前は日本のドメイン、国内から来ている迷惑メールが多かったのですが、ここ数年は海外、特に中国からのものが増えており、他にフィリピンやブラジル、アメリカといった国々からのものが多くを占めています」(小澤氏)
迷惑メールの大半を占めるのは、いわゆる出会い系サイトや広告宣伝メールだ。この種のメールに対して総務省が実施している対策の 1 つが、平成 14 年に制定した「特定電子メール法」だ。「古いと思われるかもしれませんが、スパマーが非常に増えた状況を踏まえて策定された法律で、オプトインや表示義務、送信者情報の偽装を禁じるものです」(小澤氏)
同法は今も継続して運用されており、迷惑メール対策センターによると毎年 6,000 ~ 7,000 件、同法に基づいた警告活動が行われているほか、必要に応じて外国の法執行当局に情報を提供したり、消費者庁と連携して対策をを進めている。さらに、同じくデータ通信協会のもとに迷惑メール対策推進協議会を立ち上げて技術的な検討を進め、「送信ドメイン認証導入マニュアル 第三版」などを公表している。
●”通信の秘密” の側面でも DMARC は問題なし、「どんどん対応を」
送信ドメイン認証導入マニュアルでも紹介されている対策の 1 つが DMARC だ。DMARC に関連して総務省にはしばしば「通信の秘密を中心とする電気通信事業法の関係で、どのように整理できるのでしょうか」といった問い合わせが寄せられるという。
これに対する総務省の答えは明確だ。「簡単に一言で言えば、『できますので、どんどんやってください』という趣旨です」(小澤氏)
確かに DMARC は外形的に見れば、通信の秘密の侵害に当たる。しかし、かつてメールのフィルタリング対策に関して行われた議論と同様に、包括同意を得た前提ならば、正当業務行為として認められるため問題はない。総務省ではすでにそのように整理をしており、Webサイトにも公開されている。「もし、ここが足かせになるのではないかと悩んでいる事業者さんがいれば、総務省ではすでに整理済みですと案内していただければと思います」と小澤氏は述べた。
このように DMARC については法的側面からの整理がなされている。さらに消費者委員会の意見を受け、総務省はもちろん、関係する他の省庁においても、DMARC の普及に向けた取り組みを進めていこうという機運が高まってきているそうだ。
では、実際の普及度合いはどうだろうか。データ通信協会の調査によると、通信事業者における SPF の導入率は 9 割に上っている。一方、DKIM は 7 割、DMARC は 5 割程度という状況だ。特に JPドメインの送信ドメイン導入状況を見ると、SPF は 67.51 %に達しているものの、DMARC はまだ 2.1 %と低い水準にとどまっている。go.jpドメインに限ってみると、SPF は 90 %に達している一方、DMARC はまだ 7.14 %という状況だ。
全体としては、SPF:67.51%のドメインで導入、DMARC:2.1%のドメインで導入しており、政府機関(GO)におけるSPFの導入は約90% 、DMARCの導入は7.14%(2021年12月時点)
「まだまだ DMARC の導入は遅れていると思います。デジタル庁や NISC とも調整し、政府のセキュリティ標準ガイドラインの中で DMARC の位置づけを格上げできないかと議論をしています」(小澤氏)。実は総務省も、普及に向けて DMARC自体は導入済みだが、ポリシーはまだ「none」のまま。ここを一歩踏み出すための話を進めている段階だ。
民間企業でもそうだが、総務省をはじめ中央省庁のシステムにおいても、DMARC導入が検討の俎上に上がると「メーリングリストが届かなくなるのではないか」といった声が上がってくるという。このため、DMARC のポリシーを reject や quarantine に変更するという判断を下すのが難しい実情がある。
それでも小澤氏は DMARC の有効性を踏まえ、「DMARC は送信側、受信側両方の対策が必要です。ぜひ積極的な導入に取り組み、皆で盛り上げていけたらと思います」と呼びかけた。
JPAAWG では、「JPAAWG 5th General Meeting」の講演資料を公開しています。本レポートと併せてご覧ください。
・警察庁 清川 敏幸氏 講演資料
JPAAWG 5th General Meeting について
・メールに悩む今だからこそ、一堂に会してよりよい対策の議論を
・ガラパゴス的な対策から脱却し、技術的に正しい対策を推進するヒントを得る機会に
