『津波警報を発表しました。緊急で避難が必要です。避難が必要な地域は、以下のURLから確認してください』
――2018年11月8日、気象庁の津波警報を装った迷惑メールが届いたという情報が複数件同庁に寄せられた。同メールは、記載されたURLをクリックすると、マルウェアとみられるスクリーンセーバー形式のファイルがダウンロードされてしまうというものだった。

気象庁はこの事象に対し、同日中に注意喚起を目的としたプレスリリースを発表。国民に対して迷惑メールに関する詳細な情報を公開し、被害を最小限に食い止めた。

こうした対応が評価され、気象庁は第4回情報セキュリティ事故アワード 特別賞に選出されている。本稿では、今回の対応を担当した国土交通省 気象庁 総務部企画課 情報セキュリティ対策企画官 豊田英司氏にお話を伺った。

国土交通省 気象庁 総務部企画課 情報セキュリティ対策企画官 豊田英司氏

URLをクリックさせるための巧妙な仕掛け

一口に迷惑メールと言ってもクオリティはまちまちだが、今回は手が込んだ作りのものだった。

発信元が偽装されていたのはもちろんのこと、迷惑メールに記載されていたURLは「jma-go.jp」という、気象庁のドメインである「jma.go.jp」によく似た非常にまぎらわしいドメインを使用している。

また、フルURLにアクセスするとマルウェアのダウンロードが始まるものの、偽ドメインのトップページ「https://www.jma-go.jp/」に関しては、気象庁の公式Webサイトへリダイレクトされるように仕込まれていた。訝しんでドメインを調べても結果的に正しいサイトが表示されるので、リンクをクリックしてしまう可能性が高まる。

さらに通知の内容として「津波警報」を選んだ点も巧妙だ。気象庁からのお知らせで多くの方が馴染み深いのは「緊急地震速報」だが、こちらのお知らせは地震が来るまでの数秒と、情報としての”有効期限”が短い。対して津波警報は、津波の襲来までに多少の時間がかかるため、開封・確認が遅れたとしてもリンク先を開く確率が上がるわけだ。

迷惑メールへの注意喚起を促した気象庁のプレスリリース

ちなみに、気象庁から一般市民に対して防災気象情報に関する速報をメールで直接送ることはないという。ただし、携帯電話事業者や自治体、気象会社などが緊急速報メールや登録者向けメールを配信するケースは多く、利用者からすると同じ防災関連情報なので、違いを認識する方は少ないだろう。

特に、津波警報という、命に係わる通知に対しては、焦る気持ちから発信元を確認しないで内容を確認する人も多いはずだ。実際に大きな地震が起き、津波が発生する可能性のあるタイミングで同様のメールが送られていれば、より大きな混乱を招いていたかもしれない。

11月8日と16日に津波警報を装った迷惑メールが一般市民へ届く

寄せられた情報によると、11月8日の午前11時頃にはすでに迷惑メールが配信されていたものと見られるというが、豊田氏がその情報の報告を受けたのは、午後4時だった。

「気象庁公式サイト内の問い合わせフォームに、本件に関する一般市民からの連絡が3件ありました。また、地方気象台経由での問い合わせもありました。これらの連絡はほぼ同時に届いていたため、迷惑メールの被害は広がっているものと判断しました」(豊田氏)

いち早く国民に周知し、注意喚起したいとの思いから、その後、豊田氏は同日中にプレスリリースを発表するべく対応を開始する。

豊田氏へは、迷惑メールの文面を口頭で説明される形で連絡が届いたため、当初はメールや該当URLの正確な内容までは把握できていなかったという。11月8日のプレスリリースにおいて、該当URLを「http://\*\*\*.jma-go.jp/\*\*\*/」という不確定な形で表現しているのはそのためだ。

このURLが確定するのを待ってから発表するという考え方もあるだろうが、豊田氏は「いずれにしても国民が狙われているという事実に変わりはありません。私は、国の機関として黙っているわけにはいかない、いち早く情報を届けなければ、と考えました」と当時の思いについて振り返る。

一般市民に対する同様の迷惑メール攻撃は、8日後の11月16日にも行われていることが確認されている。8日に送られた迷惑メールについてすでにテレビなど大手メディアで報道されていたため、16日の攻撃に対しては、8日よりも多くの問い合わせが気象庁に届いたという。気象庁は、これらの情報をもとに該当URLを確定し、16日に再度注意喚起の発表をした。

「国民を守る」ことを第一に、自信と気迫をもって対応

迷惑メールが一般市民へ届いているとの報告を受けた豊田氏は、瞬時に「報道発表を打たなあかん!」とフロアに響き渡る声で周囲の関係者に伝えたという。

「気象庁の執務室は日本の官庁に特有の大部屋なのですが、だからこそ、声に反応し、自然と助けてくれる人が現れ、集合知が機能したのだと思っています。

2014年にも似たような事例があったこと、同事例では対外発表と警察届出の前後関係が問題になったことなどを教えてもらえました。

数年単位で人事異動が発生する役所の仕組みが問題視されていますが、今回の件に限っていえば、人事異動によってたまたま前例を知っている人がいたため、スムーズに動けたものと考えています。さまざまな人や状況に助けられて、同日中での報道発表を行うことができました」(豊田氏)

日本の官庁がプレスリリースを発表するためには、多くのステークホルダーが関わってくる。特に官庁のIT部門は独立した組織であることが多く、関係部署の上層部への情報伝達がスムーズにいかないケースもある。

ともすれば「面倒なので黙っておこう」という状況になりがちだが、迅速に発表できた背景として「自分のキャラクターによるところはあるかもしれない」と豊田氏は分析している。

正しい知識が生んだファインプレイ

数値シミュレーションのためのソフトウェア・データ管理アーキテクチャに関する研究で博士号を取得し、気象庁に採用された豊田氏は、通信やコンピュータなどに関する造詣が深い。メールやWeb、DNS政府ドメインの仕組みに対する理解があったため、スムーズで的確な判断を行うことができた。

前例では同日中に報道発表していないという意見もあったというが、「国民を守るために必要であること、そして当日中にやらなければならないということを、気迫をもって説明しました。こうした報道発表によって気象庁のセキュリティへの信頼が損なわれないと自信を持って判断できる人は、組織内にそう多くはいないと思います。不安そうに相談していたら止められていたかもしれません」と豊田氏が言うように、豊田氏の専門知識と経験が今回の迅速な対応を支えていたことがわかる。

「役所には情報公開に慎重になってしまう習慣がありますし、ITに明るい人が少ないという課題もあります。プレスリリースの内容によっては攻撃者を利することになるかもしれないという理由で、報道発表しないという選択肢も考えられますが、きちんとメールやWebの仕組みを理解していれば、出して良いものと悪いものの判断ができます」(豊田氏)

気象庁の役割は、「信頼性の高い情報提供を行うこと」

第4回情報セキュリティ事故アワード 特別賞の受賞理由の一つに、プレスリリースにおいて迷惑メールの見分け方(インディケイター)を示していたことがある。

詳細な情報を明らかにした理由について豊田氏は「気象庁は、気象や防災に関する情報を提供している組織です。迷惑メールに関してごまかすようなことがあれば、普段発信している情報の信頼性までも危うくすることになります」と説明する。

気象庁のブランドを守るため、そして何より国民を守るため——豊田氏の「使命感」が支えた見事な対応であった。