【フィッシング対策】なりすましメールによる詐欺には、「ひと目で判別できる」仕組みで対策を
（自治体ロゴ付きメール / GMOブランドセキュリティ）

※下記は自治体通信 Vol.72(2026年2月号)から抜粋し、記事は取材時のものです。

近年、官公庁や自治体の名を装った「なりすましメール」による詐欺被害が増加している。その手口は巧妙化し、メールの文面やドメインアドレスでは判別が困難になっている。こうした社会課題に対し、Web上の商標やブランド保護対策に取り組むGMOブランドセキュリティの寺地氏は「正規のドメインに『自治体ロゴ』とチェックマークを付与し、ひと目で判別できる仕組みが、住民への被害拡大を防ぐ」と語る。その詳細について、同氏に聞いた。

オンライン化の進展も、詐欺被害増加の要因に

―自治体における「なりすましメール」被害の現状をどう捉えていますか。

　フィッシング詐欺を主目的とした「なりすましメール」は、これまで金融機関などのなりすましが中心でしたが、近年、官公庁や自治体のなりすましも増えています。実際に、地方税の納付督促や給付金の案内などを装うメールも報告されています。その背景には、行政サービスのオンライン化が進み、住民が自治体からのメールを受け取る機会が多くなったことが考えられます。さらに、生成AIの発展によって日本語表現も自然になり、メール本文での判別が困難なため、デジタルに強い若年層にも被害が広がっています。自治体の「なりすましメール」で住民への被害が拡大すると、自治体に対する信頼感が揺らぎ、重要な通知を送付してもメールを開いてもらえなくなるなど、行政サービスの提供に支障をきたしかねません。

―どう対策すれば良いでしょう。

　一般的に、DMARC(送信ドメイン認証技術)という手法が有名ですが、これは正規のドメインからメールが送信されたことを証明する技術であり、スペルが酷似したドメインまで防ぐことができません。たとえば、「@ishin-city.jp」が正規のドメインだとすると、「@ishin-shi.jp」や「@lshin-city.jp(文頭が小文字のエル)」などの酷似したドメインはDMARCでは防げず、相手先にメールが届いてしまうのです。この酷似ドメインによる「なりすましメール」の被害にあった自治体では、HPなどで「正規のドメイン以外は開かないでください」と周知していますが、メールを受信するたびに微細なスペルのちがいを目視で判別するのは困難です。そこで当社では、DMARCに加え、行政ロゴ専用の証明書『GMC』を活用した、住民がひと目で正誤を判別できる「BIMI」というメールの仕組みを提供しています。

「住民保護」の観点から、中央省庁でも導入が進む

―その仕組みについて、詳しく教えてください。

　まず、県章や市章といった「自治体ロゴ」をメールのアイコンに設定します。次に、当グループで厳正な審査をしたうえで、その「自治体ロゴ」が「その自治体の所有である」という証明書『GMC』を発行します。そして、この『GMC』が付与された「自治体ロゴ」が正規のドメインから送信されたときに限り、受信したメールの件名の横に青いチェックマークが付与されます。このロゴとチェックマークにより、住民は見慣れた県章や市章を視認でき、そのメールが正規のものだと判別しやすくなります。さらに、自治体から「市章と青いチェックがあるかを確認してください」というわかりやすい判断基準を提供でき、詐欺被害の拡大を防ぐ一手になると自負しています。

―「自治体ロゴ」が盗用された場合の信頼性はどうでしょう。

　この青いチェックマークは、ドメインとロゴの所有者が一致しなければ、表示されることはありません。仮に自治体ロゴのデザインを盗用したなりすましメールが届いてもチェックマークが判断の根拠になるため、信頼性が揺らぐことはないと言えます。

　こうした『GMC』やBIMIの実運用に向けては、まずDMARCの導入・設定が必要ですが、当社では、その段階から運用に至るまでワンストップで伴走支援します。当社は長年、公的機関や民間企業のインターネット上の信頼を守るブランドセキュリティ事業を手掛けており、現状ではこうした仕組みを提供できる唯一の日本企業*です。金融庁や総務省は「国民保護にむけて範を示す」と、令和7年から導入しています。この動きを全国に広げ、自治体の「住民を守る」という使命を果たす一助となるべく、今後も取り組み続けます。

*GoogleやApple、yahooなどで構成されるBIMI運用のワーキンググループから、GMC(VMC)を発行できる認証局として日本企業では唯一認められている