日本情報経済社会推進協会（JIPDEC）は、TwoFiveと共同で自治体が発信する防災メールのなりすまし対策状況（SPFとDMARCの設定状況）について調査を行い、その結果を発表した。

　今回の調査は、6月から8月にかけて都道府県と市区町村、全国あわせて1788自治体を対象にウェブサイトを目視で実施した。1788自治体で防災メールを配信していることが確認できた1122自治体（62.8％）のうち、配信サービスを行っており、メール配信登録前に送信者メールアドレス（ドメイン）を確認することができた1026自治体について、送信ドメイン認証技術であるSPFとDMARCの設定状況を調査した。

　この結果、防災メールの発信元メールアドレスを確認できた1026自治体のうち、SPFに対応していたのが923自治体（90.0％）で、DMARCに対応していたのが146自治体（14.2％）だった。SPFとDMARCを両方とも設定していたのは144自治体（14.0％）のみだった。なお、1つの自治体で配信メールアドレスが複数あった場合、すべてのメールアドレス（ドメイン）が対応していた場合のみ、設定ができているものとした。

　都道府県別に設定割合を確認したところ、SPFは70％から100％の自治体が設定していたが、SPFもDMARCも設定できている自治体は50％もなかった。青森県、石川県、兵庫県、鳥取県、山口県、徳島県、香川県、高知県の8県はSPFとDMARCの両方を設定してメールを送信できている自治体がない県だった。

　SPFの設定自治体の割合と、SPFとDMARC の両方を設定している自治体の割合を比較したところ、各都道府県ともに、SPFとDMARCの設定割合に大きな乖離が発生していることが確認できた。

　今回の調査結果から、9割の自治体がSPFを設定しつつも、SPFだけでなくDMARCも設定している自治体は14％と低く、SPFの設定率と乖離が生じていることがわかった。両者の設定方法はほぼ同じなためSPFが設定できればDMARCも設定できるはずだが、SPFに比べDMARCは技術として新しいため、あまり認知されていないからではないかと考えられる。発注元である自治体が送信ドメイン認証を理解することも必要だが、防災メール配信は委託業者が配信することも多いため、委託先がDMARCの設定ができるかどうかが重要なポイントとなる。

　送信ドメイン認証であるSPFとDMARCが設定されていないと、相手にメールが届かない可能性が高くなる。すぐに情報を届けることが生死に関わる性質のメールを確実に届けるために、自治体はITベンダーへの防災メール配信を業務委託する場合、業務委託時には仕様書に必須要件として記載するなど、送信者側で送信ドメイン認証の設定をしておくことが重要になる。

　そもそも、防災メールの配信元の情報にアクセスすることが簡単ではないということがわかった。「自治体名＋防災メール」と検索しても、自治体保有のページではないサイトが検索結果の上位に現れるという検索サイトの機能による原因もあるが、自治体のサイト自体もそれが本当に自治体のサイトなのかドメインから判別が難しいサイトもあった。都道府県や気象台のリンクからたどり着ける自治体もあったが、リンクがすでに無効になっている自治体もあった。サイトのリニューアル前のページにリンクが残っていてリニューアル後のトップページに飛ばされてしまいそこからたどり着けなくなることもあり、住民に必要な情報を届けるという目的に沿ったITの利活用の必要性が改めて浮き彫りとなった。

　安心、安全なインターネットの利用を推進しているJIPDECでは、今後も、日本のなりすましメール対策の普及状況を調査し、随時情報発信していく方針。