なりすましメール、そしてメールを介して広がる詐欺やサイバー攻撃への対策は、民間企業の力だけ、あるいは技術だけでは解決しない。政府の指針や法規制といった「官」の力も不可欠だ。
JPAAWG 7th General Meeting ではその重要性を踏まえて「官公庁セッション」が企画され、総務省から「電気通信サービスの不適正利用対策」と題して DMARC などのフィッシング対策の促進や携帯キャリアと連携したスミッシング対策などについて、また、警察庁からは「キャッシュレス社会の安全・安心の確保に向けた取組について」と題して、フィッシングサイトのテイクダウン促進、生成 AI を活用したフィッシングサイト判定の高度化・効率化なども含め、それぞれの取り組みが説明された。
● 増加し続ける特殊詐欺、本人確認強化や送信ドメイン認証技術の活用で対策推進
まず、総務省 総合通信基盤局 電気通信事業部 利用環境課の黒田凜奈氏は、電話やメールといった通信技術を用いた詐欺対策を担当する総務省の立場から、昨今の取り組みを紹介した。
近年、オレオレ詐欺や料金請求詐欺といった「特殊詐欺」の被害が増加の一途をたどっている。これは直接被害者に会ってだますのではなく、電話やメール、Web を通して相手を信用させ、現金をだまし取る手口の総称で、2023 年の被害額は前年から 80 億円あまりも多い約 452 億円に上った。
「実行犯は匿名性を確保するため、足の付かない電話を必要とします。これに対し総務省では、携帯電話不正利用防止法、犯罪収益移転防止法、そして事業者を通じた電話番号の運用停止スキームの運用という三本の柱で取り組んでいます」(黒田氏)
携帯電話不正利用防止法は、携帯電話の契約者をたどれるようにすることを目的に、携帯電話契約時等に運転免許証などによる本人確認を義務付け、また無断譲渡や譲り受けを禁止するといった内容だ。ただ、手口と対策のいたちごっこも続いている。近年、050 番号を使用するアプリ電話を用いた犯行が増えたことを背景に、2023 年の改正によって、050 アプリ電話の契約時の本人確認の義務化が盛り込まれたところだ。
また政府全体でも「犯罪対策閣僚会議」を中心に、特殊詐欺、そして最近特に被害が目立つ SNS型投資・ロマンス詐欺への対策を進めていると黒田氏は説明した。
まず「被害に遭わせない」対策の一つとして、フィッシング対策、具体的には DMARC の対応促進を進めている。「迷惑メール対策推進協議会やフィッシング対策協議会を通して普及啓発を進めていますが、さらなる普及を目指しています」(黒田氏)。2024 年 6 月に政府が「国民を詐欺から守るための総合対策」をとりまとめた際、当時の岸田前首相が DMARC をはじめとする送信ドメイン認証技術の導入・促進を進めるよう指示したことも踏まえ、政府として一体的な取り組みを進めていく方向だ。
同様に、SMS を利用したフィッシングメッセージ、いわゆる「スミッシング」への対策も進めている。具体的には、「スミッシングメッセージの申告受付や周知啓発の推進、さらにスミッシングを発信するマルウェア感染端末の特定・警告などに向け、業界ルールの策定などを掲げて対策を進めています」(黒田氏)
また「犯罪者のツールを奪う」対策として、本人確認の実効性を高めるための取り組みを進めていく。先に触れた通り、携帯電話の契約時には本人確認が義務付けられているが、その方式として、これまでのように運転免許証の写しや写真を用いるのではなく、マイナンバーカードの IC チップ読み取りを義務化するといった方針を示し、省令改正などを進めているとした。
● 携帯キャリアと連携し、通信の秘密との関係を整理しながらスミッシング対策も推進
総務省では他にも、迷惑メールやスミッシング対策を進めている。
電気通信事業者 10 社の協力を得た総務省のまとめによれば迷惑メールは依然として多く、受信メール全体の約 4 割に達している。特に中国発信のものが多く、内容を見ると広告宣伝や出会い系がほとんどを占めている。詐欺につながるフィッシングメールの報告件数も非常に多い。
これに対し総務省は、迷惑メールの増加を背景に平成 14 年に施行された「特定電子メール法」を皮切りに、さまざまな側面から迷惑メール対策に取り組んできた。それも、総務省単独ではなく、官民連携を通して進めてきたことが特徴だ。
たとえば、ISP や携帯キャリアといった通信事業者、セキュリティベンダーなどが参加する迷惑メール対策推進協議会の技術ワーキンググループでは「迷惑メール白書」や「送信ドメイン認証技術導入マニュアル」を発行したほか、日本データ通信協会では、スマートフォン所有者の年齢が下がっていることを踏まえ、子供たちにもアプローチできるようなユニークな周知啓発活動を展開している。
そして、技術面の対策において中心となっているのが DMARC だ。「DMARC はメールのなりすましを判定できる技術であり、フィッシングメール対策にも有効なものとなっています。そこで、犯罪対策閣僚会議など政府としても普及を図るべく、方針を示しています」(黒田氏)
黒田氏は、2023 年から 2024 年にかけて DMARC の普及が進んだという認識を示し、さらに政府機関での DMARC導入に向け、NISC がまとめるセキュリティガイドラインの中に盛り込まれていることにも言及した。
一方で「ポリシー設定がまだ none となっている者もおり、DMARC が必ずしも力を発揮できているとはいえない状況です。今後、ポリシー設定の変更についても啓発・周知できればと考えています」とも述べ、引き続き積極的な活用を呼び掛けた。セッション後の質疑応答によると、p=none から quarantine や reject へと移行していくためのガイドブック策定なども検討されているという。
また、ここ数年の課題となっているスミッシングについては、2024 年 2 月から「不適正利用対策に関するワーキンググループ」を開催し、現状と対策について議論を進めてきた。
スミッシング被害は大幅に増加しており、インターネットバンキングでの不正送金やクレジットカード番号の盗用といった金銭的な被害につながっているが、これまでの対策の中心はフィルタリングだった。SMS の発信元は、主に国内の携帯電話、国内の SMS配信事業者、海外事業者の三つに大別できるが、「いずれの場合も、加入している通信事業者の SMS配信サーバを必ず通るため、国内キャリアに協力をいただきながら、フィルタリングを中心に対策を取ってきました」(黒田氏)
ワーキンググループでは、スミッシングの大半が、マルウェアに感染してしまった国内の携帯電話端末からの発信であることを踏まえ、マルウェア感染端末を特定して警告を発信する対策を広めていく方針を示した。
ただ、この対策は、憲法に定められた「通信の秘密」を侵害する懸念があった。黒田氏は、「通信の秘密に係る情報を見る必要があるため、原則として利用者の同意が必要になります。そこでワーキンググループにおいて通信の秘密に関わる整理を行い、包括合意でも侵害には当たらないという案を示しました」と述べた。現に NTTドコモではサービスが開始されており、「他のキャリアや MVNO にも普及していけば、より効果的な対策が取れると認識しています」と黒田氏は期待を寄せた。
ワーキンググループでは、アメリカ・イギリスにおける「7726」という共通窓口へのスミッシング申告やマルウェア感染端末への対策、メッセージのブロックや事業者ガイドライン策定といった海外の事例も参考にしながら、前述のマルウェア感染端末の特定・警告に加え、スミッシングメッセージの申告受付の推進、昨年立ち上げた「SMS不適正利用対策事業者連絡会」などの場を生かした SMS関連事業者による業界ルールの策定、迷惑SMS対策に係る周知啓発の推進といった対策を進めていく方針だ。
黒田氏は最後に、「こういった対策には事業者の皆様の協力が必要です。制度だけではどうにもならない部分や最新の知識について、こうした場でも、またそれに限らず平時からも積極的に意見交換できればと思います」と、あらためて幅広い協力を呼び掛けた。
● DMARC を活用し、「利用者が意識しなくても被害に遭わない環境」整備を
続けて、警察庁サイバー警察局サイバー企画課 サイバー事案防止対策室長の根木まろか氏は、「キャッシュレス社会の安心・安全確保に向けた取組について」と題して警察庁の取り組みを紹介した。
近年、決済に現金を利用する機会は減ってきた。代わりに年々増加しているのがクレジットカードや QR などのコード、あるいは電子マネーといったキャッシュレス決済だ。2022 年時点の経済産業省の調査でも、日常生活で 7 ~ 8 割程度キャッシュレスを利用するという回答が 54 %を占めるほど浸透している。根木氏も「私の周りでも財布を持たない人が増えていますし、飲み会の会費をコード決済でやりとりする場面もよく見かけるようになっています」という。
だが、こうしたキャッシュレス決済の普及と呼応するかのように、関連する被害も増加し続けている。たとえばクレジットカードの不正利用被害は右肩上がりとなっており、2023 年には 540 億円を超えた。このうち番号盗用型の被害が 93 %を占め、504 億 7000 万円に上っている。また、インターネットバンキングの不正送金被害も、件数、額ともに過去最多となった。
こうした被害の主な経路となっているのが「フィッシング」だ。「クレジットカードの不正利用被害のうち、番号盗用による被害が 90 %となっていますが、フィッシングサイトでクレジットカード情報を盗み取る手口が確認されています。またインターネットバンキングの不正送金に関しても、金融機関を装って不審サイトへ誘導する電子メールが多数確認されています」(根木氏)
こうした背景から警察庁では、フィッシング対策に積極的に取り組んできた。2023 年には各界の有識者から構成される「キャッシュレス社会の安全・安心の確保に向けた検討会」を開催し、2024 年 3 月にまとめられた報告において「被害に遭わないための環境整備」と「警察における対処能力の向上」の二本柱からなる対策を示している。
「最近のフィッシングメールは、一昔前のような違和感のある日本語や不自然な日本語ではなく非常に巧妙になっており、メールの内容を見ただけでは見破るのが難しい状況です。内容も、不安をあおるような文面で正常な判断能力を失わせるなど、ますます高度化、巧妙化すると想定されます。今までのような注意喚起や被害防止対策に加え、利用者が意識しなくても被害に遭わない環境を構築することが大事になってきます」(根木氏)
警察庁はこの「意識しなくても被害に遭わない環境」を作る技術の一つとして DMARC に着目し、関係省庁とともに導入促進に取り組んでいる。行政機関ではまだ p(DMARCポリシー)=reject での DMARC運用が進んでいないという指摘もあるが、「警察庁としてはぜひ p=reject を推進していきたいと思っています」と同氏は述べた。
さらに、メールを送信した企業のブランドアイコンをメールフォルダに表示させる「BIMI」にも言及し、「DMARC だけでは、正規のドメインに似せたドメインを用い、なりすましをしていないメールでは届いてしまうこともあります。DMARC を補完するものとして、公式マークの表示を合わせて普及することが重要だと考えています」とした。
●被害を潜在化させず、通報・相談することで社会全体での被害防止に
警察庁は他にも、なるべく被害に遭わない環境を実現するためにさまざまな手を打っている。その一つがフィッシングサイトのテイクダウン促進だ。
この一環として JC3(一般財団法人日本サイバー犯罪対策センター)では、サイバー防犯ボランティアによるフィッシングサイトの報告数・テイクダウン数を競う「フィッシングサイト撲滅チャレンジカップ」を開催している。2024 年 7 月に開催された第 2 回には 46 団体から 359 名が参加し、第 1 回の 8 倍以上となる 2201 件のテイクダウンが行われるという驚異的な成果を上げた。警察庁は今後もこうした活動を後押ししていくという。
さらに、パスワードではなく、生体認証と連携して強固な認証を実現する「パスキー」の普及促進も進めていく。また警察において、EC加盟店から不正取引に関する情報の提供を受け、分析し、EC加盟店に還元することで被害拡大防止につなげていく、EC加盟店等との情報連携の強化も進めていく方針だ。「個人情報やプライバシーを保護しつつ被害防止対策を進めるため、個人情報保護委員会や EC加盟店との調整を進めています」(根木氏)
対策のもう一つの柱である、警察における対処能力の向上に関しては、生成AI の活用などが検討されている。「現在は人の目でフィッシングサイトに該当するかどうかの判断を下していますが、民間企業では今、フィッシングサイトの URL を ChatGPT などの生成AI に入力し、フィッシングサイトかどうかを判別する研究が進められています。こうした技術を積極的に取り入れ、業務の高度化・効率化を進めていきたいと考えています」(根木氏)
そんな警察庁が懸念しているのが、被害の「潜在化」だ。警察庁が実施した「不正アクセス行為対策等の実態調査」によると、過去一年間に不正アクセスの被害に遭った企業のうち、43.9 %が警察や監督官庁、関係機関等への被害申告を行わなかった。レピュテーションリスクや早期復旧への支障になるのではないかという懸念に加え、そもそも届け出るべきなのかわからないし、どんな情報をどの窓口に通報すればよいかがわからない、といった理由から、警察への通報・相談をためらう傾向が見られるという。
根木氏は、「被害者・被害企業等における被害の拡大防止や被害回復支援、関係省庁と連携しての社会全体の被害の未然防止といった警察が行うさまざまな活動は、主に被害者からの通報・相談から得られた情報が元になっており、通報・相談は重要な役割を担っています」とした。そして、「サイバー事案の被害の潜在化防止に向けた検討会」での議論を踏まえ、通報・相談しやすい環境の整備に取り組んでいると説明した。
具体的には、個人情報保護委員会との間で、報告や通報があれば相互に紹介する旨の覚書を締結したほか、日本損害保険協会との連携を強化し、ランサムウェア被害に遭った場合の警察への通報・相談の重要性について理解を求めているという。また、通報・相談を行う被害企業の負担を減らすため、警察庁ウェブサイトにおいて、サイバー事案に関する通報等の統一窓口を設け、運用を開始した。
広報・啓発活動も展開し、引き続きサイバー犯罪の被害防止に向けて取り組んでいく方針だが、根木氏は「サイバー空間をめぐる脅威の情勢は引き続き深刻な状態が継続すると見られ、その中で警察だけでやれることには限りがあります。官民連携をさらに進化させ、サイバー空間の安全・安心の確保に向けた取り組みを進めていきたいと考えています」と、一層の協力を呼び掛け、セッションを終えた。
※ JPAAWG は「JPAAWG 7th General Meeting」の講演資料を公開しています。本レポートと併せてご覧ください
総務省「電気通信サービスの不適正利用対策」
警察庁「キャッシュレス社会の安全・安心の確保に向けた取組について」
