自治体通信ONLINE
  1. HOME
  3. 自治体向けサービス最新情報
  5. 【なりすましメール対策】「二段構え」のなりすましメール対策で、詐欺から国民を守る手本となる(自治体ロゴ付きメール / GMOブランドセキュリティ)
総務省の取り組み
自治体向けサービス最新情報2026.04.28
フィッシング詐欺メール対策

【なりすましメール対策】「二段構え」のなりすましメール対策で、詐欺から国民を守る手本となる
自治体ロゴ付きメール / GMOブランドセキュリティ

[提供] GMOブランドセキュリティ株式会社
【なりすましメール対策】「二段構え」のなりすましメール対策で、詐欺から国民を守る手本となる(自治体ロゴ付きメール / GMOブランドセキュリティ)
この記事の配信元
GMOブランドセキュリティ株式会社
GMOブランドセキュリティ株式会社
企業詳細はこちら

上部写真左から : 寺田 賢司氏、山中 晃氏、松田 圭太氏、殿川 理子氏(総務省大臣官房企画課サイバーセキュリティ・情報化推進室に所属する職員)

※下記は自治体通信 Vol.73(2026年4月号)から抜粋し、記事は取材時のものです。

近年、国や自治体を装うなりすましメールが急増し、フィッシング詐欺被害の拡大が懸念されている。そうしたなか、総務省は送信元不明のメールが1日最大15万件にのぼることを確認し、国民保護の対策に乗り出した。送信元を証明する技術でなりすましメールを隔離し、さらに本物のメールにはロゴを表示して、受信者がひと目で判別できる「BIMI」という二段構えの対策を取ったという。その取り組みの経緯と成果について、同省の松田氏と、この対策を支援する民間企業の寺地氏に聞いた。

インタビュー
松田 圭太
総務省
大臣官房 企画課 サイバーセキュリティ・ 情報化推進室
松田 圭太まつだ けいた
インタビュー
寺地 裕樹
GMOブランドセキュリティ株式会社
営業・マーケティング事業本部 営業部 本部長
寺地 裕樹てらち ゆうき

同一ドメインを用いたなりすましメールが約4万件

―なりすましメール対策を強化した背景を教えてください。

松田 国勢調査のオンライン回答を促す連絡や、マイナポイントの案内などを装ったなりすましメールが急増しており、国民のみなさんが詐欺被害に遭うのを防ぐ観点から、その対策は急務だと考えました。また、当省は民間企業や通信事業者に対してサイバーセキュリティ対策を要請する立場にあります。自分たちができていないのに「対策をしてください」とは言えません。まずは、自らが率先して範を示すべきだと判断しました。

―具体的には、どのような対策をとったのでしょうか。

松田 まずは、IPアドレスとドメインアドレスを照合して、正しい送信元であることを証明する「DMARC(ディーマーク)」という送信ドメイン認証技術を用いて、当省のドメインアドレス(例:@soumu.go.jp)から送られているメールの実態調査を始めました。具体的には、サイバーセキュリティ・情報化推進室で把握できていないIPアドレスから送られているメールを「DMARCレポート*」で調査し、当省と「同じドメインアドレスを用いたなりすましメール」のあぶり出しを行いました。

寺地 「DMARC」に未登録のIPアドレスから送信されたメールのなかには、正規の委託事業者などから送られたメールもあるため、それを確認して登録する作業を行ったのですね。これはつまり、「DMARC」のポリシー設定の引き上げを図ったということですね。

松田 はい、そのとおりです。

―「DMARC」のポリシー設定とは、どのようなものなのですか。

寺地 「DMARC」の設定には「None(何もしない)」「Quarantine(隔離)」「Reject(拒否)」の3段階があります。まず、メール送信元のIPアドレスが「DMARC」に未登録だと、認証プロトコルが「Fail」に分類します。この「Fail」に分類されたメールを、「None」の設定なら、受信者の受信フォルダに送信します。一方、「Quarantine」では、受信者の迷惑メールフォルダに分類され、「Reject」であれば、受信者にはメール自体、送信されません。

松田 私たちは、まず当省の正規メールのドメインアドレスをすべて「DMARC」に登録し、ポリシー設定を「Quarantine」に引き上げることにより、当省のドメインアドレスを悪用したなりすましメールを、受信者の迷惑メールフォルダに分類させる対策を進めました。ただし、管理部門で勝手に「Quarantine」に設定すると、本来は委託事業者などが送信した正規のメールも、受信者の迷惑メールフォルダに分類されてしまいます。それを避けるため、まずは送信メールの調査が不可欠でした。

―調査の結果はいかがでしたか。

松田 最大で1日15万件の「Fail」メールが送信されていることがわかりました。このなかから各部署で使用しているシステムから送られている正規のメールかどうかを委託業者などに調査をして、正規であると確認できたものを「DMARC」に登録していきました。すると、15万件の「Fail」メールのうち、約4万件がなりすましメールだとわかり、省内で周知・調整を図ったうえで、令和7年7月から「DMARC」の設定を「Quarantine」で運用しています。しかし、その運用を開始した直後、上役から「それだけでは対策しきれていない」と指摘を受けたのです。

*DMARCレポート : DMARCから日々送られる「Pass」「Fail」の報告書のこと

スペルが酷似したアドレスは、「DMARC」では防げない

―どういうことでしょう。

松田 「DMARC」で、「同一ドメインによるなりすましメール」は防げても、「ドメインアドレスが酷似したなりすましメール」までは防げないという指摘でした。

寺地 そのとおりです。たとえば、「soumu」の「o(オー)」を「0(ゼロ)」に変えたり、文字を足して「soumusyou」に変えたりするような、スペルが酷似したドメインからのなりすましメールに対しては、「DMARC」をすり抜けて受信者に届いてしまうという対策の限界があるのです。この酷似ドメインは、「DMARCレポート」でも報告されず、管理者がすべて監視し続けるのは現実的ではありません。また、受信者がドメインアドレスのスペルだけで、正規のメールかどうか見分けるのも困難です。結果的に受信者が正規のメールだと思い込み、フィッシング詐欺に遭うリスクが高まるのです。

―そういった酷似アドレスにはどう対策すればいいのでしょう。

松田 「BIMI(ビミ)」の導入です。これは、受信者が、IPアドレスもドメインアドレスも正規のメールを受信した際、メール画面の件名の横に当省の「行政ロゴ」と「青いチェックマーク」が表示される仕組みです。受信者がひと目で本物のメールだと判別できるため、酷似ドメインの詐欺メールを見破る大きな助けになります。

寺地 この「BIMI」の導入には、まずは「DMARC」の設定を「Quarantine」か「Reject」に引き上げたうえで、ロゴの真正性を審査し、行政ロゴ専用の証明書である『GMC』を発行する工程が必要になります。本来、この審査には多くの時間がかかりますが、中央省庁や自治体の場合は、すぐに発行できるというメリットがあります。

自治体の「BIMI」導入は、短期間・低コストで可能

―なぜ、すばやく発行できるのでしょう。

寺地 「BIMI」という仕組みは、GoogleやApple、yahooなどで構成されるワーキンググループによって運用され、民間企業の場合には、その「ロゴ」が、本当に「その団体のものである」という真正性を証明するため、企業の実存性などを厳正な基準で審査します。しかし、官公庁や自治体は、その実存に疑いの余地がなく、県章や市章といったロゴはすでに広く認知されています。そのため、複雑な審査の過程を経ることなく、総務省でも迅速な導入が可能だったのです。

松田 実際、導入を決めてから運用までかかったのは、2ヵ月ほどでした。導入費用も数十万円で、ランニングコストも数万円なので、予算の確保もスピーディでした。

―こうした、なりすましメール対策を、どのように自治体にまで広げていけば良いのでしょう。

松田 フィッシング詐欺は、国民の健全な生活を脅かす卑劣な犯罪です。いくら「なりすまし」だとしても、省庁や自治体の名で騙された被害者の国民にとっては行政の信頼を損ねる一因となりえます。自治体のみなさまにも、ぜひ私たちが取り組んだような「DMARC」と「BIMI」による「二段構え」の対策を進めていただきたいです。その際、ただでさえ人員が不足する市町村単独ではなく、県や政令指定都市などの比較的大規模な自治体から事例を積み上げて、横展開するモデルが有効だと考えます。

寺地 当社は、「DMARC」の導入・設定の段階から、『GMC』の審査・発行、「BIMI」の運用に至るまで伴走し、なりすましメールへの対策強化を全力で支援していきます。

支援企業の視点
専門家による導入からの伴走支援が、なりすましメール対策を盤石にする

なりすましメールから住民を守るには、総務省のような「二段構え」の対策が有効だとされるが、専門的で労力を要するDMARCポリシー設定の引き上げが必須となる。こうした導入時の課題をワンストップで伴走支援するのがGMOブランドセキュリティだ。その支援内容について、同社の寺地氏に聞いた。

インタビュー
寺地 裕樹
GMOブランドセキュリティ株式会社
営業・マーケティング事業本部 営業部 本部長
寺地 裕樹てらち ゆうき
昭和56年、東京都出身。平成15年に中央大学法学部を卒業後、大手情報セキュリティ企業の株式会社ラックに入社し、中国オフショア開発プロジェクトを統括。平成20年、GMOブライツコンサルティング株式会社(現:GMOブランドセキュリティ株式会社)に入社。令和5年より現職。おもに営業・マーケティング部門の統括を担う。

―自治体がなりすましメール対策を進めるには、どのような技術が有効なのでしょう。

 総務省の事例のように「DMARC」の導入と、そのポリシー設定の引き上げ、最後に「BIMI」を導入するという「二段構え」の対策が有効です。しかし、そのうえで導入時の課題になるのが「DMARC」のポリシー設定の引き上げです。「DMARC」を導入すると、自治体によっては多くの認証レポートが届きます。そのなかから「Fail」のメールを読み解き、庁内のどのシステムから送られた正規のメールなのか、あるいは悪意のあるなりすましなのかを特定していく作業は、専門的で労力を要する作業です。これを人員が不足しがちな自治体単独で行い、安全に設定を引き上げようとするのは、難しいと思われるケースもあります。

―良い解決策はありますか。

 「DMARC」の導入・設定を専門家に任せることです。導入自体は難しくありませんが、ポリシーを「Quarantine」以上に設定するには専門的な機関によるサポートが有用です。「DMARC」の設定さえ完了できれば、自治体ロゴ証明書の『GMC』の取得や、「BIMI」の導入・運用は、それほど手間がかかりません。その点、当社はネット上のブランド保護活動において20年以上の実績があり、「BIMI」運用グループから認められた日系企業唯一の『GMC』発行機関*です。こうして培ったノウハウを活かし、専門知識を持ったスタッフが、「DMARC」の初期設定からレポート解析、管理部門が把握しきれていないシステムの特定などの調査をワンストップで伴走支援しています。これにより、「二段構え」の対策をスピーディに進められます。

―今後の自治体に向けた支援の展望を聞かせてください。

 官民を問わず、多様なサービスのデジタル化が進んだいま、メールアドレスは、アプリやシステムへの登録や利用に必要で、「本物の住所」と変わらないほど重要な情報です。そうした情報を悪用した卑劣なフィッシング詐欺の撲滅は、当社の使命だととらえ、今後はニュース配信などで、「DMARC」や「BIMI」の啓発活動をさらに強化していきます。そして実際に住民を守るには自治体のみなさまの力が欠かせません。「住民保護」のため、ぜひ私たちをご活用ください。

*GMOブランドセキュリティ調べ

GMOブランドセキュリティ株式会社
GMOブランドセキュリティ株式会社
設立

平成16年1月

資本金

1億円

従業員数

72人(令和7年12月現在)

事業内容

自治体や公的機関向け行政ロゴ付きメール(BIMI)/行政ロゴ所有証明書(GMC/VMC)導入支援、ドメインや商標の登録・更新・管理適正化、ドメインネーム権利者・使用実態調査およびインターネット上の包括的なリスク対策など

URL

https://brandsecurity.gmo/

お問い合わせ先
03-5784-1069(平日 9:00~18:00)
mrk@brandsecurity.gmo
サービス資料を確認する
電子印鑑ならGMOサイン 導入自治体数No.1 電子契約で自治体DXを支援します