内閣官房情報セキュリティセンター(NISC)は2012年4月19日、政府機関が主に使用する「go.jp」ドメインにおける送信ドメイン認証「SPF(Sender Policy Framework)」の対応状況を公表した。2012年3月末時点で、およそ97%がSPFに対応しているという。
送信ドメイン認証とは、メールの送信元が偽装されていないかどうかを、受信者が検証できるようにする仕組みのこと。送信ドメイン認証には、メールサーバーのIPアドレスで検証する「SPF」と、メールに電子署名を付与する「DKIM(DomainKeys Identified Mail)」などがある。
政府機関で導入を進めているのはSPFという方式。SPFでは、メールの送信側は、自社や自組織で使用しているメールサーバーのIPアドレスを、DNSサーバーにSPFレコードとして設定するだけでよいので、対応が比較的容易とされる。
go.jpドメインにおけるSPFの対応状況は、2011年7月末は37.4%だったが、同年10月13日には63.2%、2012年1月16日には85.1%と急増。そして今回、97.7%に達した(図)。ちなみにNISCの報道発表資料では、小数点以下を切り下げて「約97%」と表現している。
ただ、送信ドメイン認証では、送信側(今回の場合はgo.jpドメイン側)が対応するだけでは、なりすましメールを検知できない。受信側でもSPFに対応する必要がある。このためNISCでは、メールサーバーの運用者などに対して、メールサーバーをSPFに対応させるよう呼びかけている。
また、メールの文面だけを偽装したメールについても注意を呼びかけている。この手口では、フリーメールなどのアドレスから、政府機関からのメールに見せかけた偽メールを送信する。この場合、送信元アドレスを見れば偽メールであることは明らかだが、なりすましはしていないのでSPFでは検知できない。
そのほかNISCでは、「不審なメールは開かない」「身に覚えのないメールに書かれているリンクや、添付されているファイルは開かない」といった一般的な対策も実施するよう推奨している。
