インターネットで調べものをするとき、目に入った情報の発信者が信頼できるかは非常に重要な要素だ。企業や自治体のページは、得られる情報の信頼性だけでなくサイト自体の安全性も高いと言える。

しかし、様々な経緯を経て、かつて自治体のみが取れたドメインが民間にも開放された結果、一見すると自治体のもののように見える怪しいサイトが増えていると、立命館大学情報理工学部の上原哲太郎教授は警鐘を鳴らしている。

画像はイメージ。(Johan Larssonさん撮影。flickrより)

偽サイトを懸念

立命館大学で教鞭をとる上原教授は、サイバーセキュリティを専門に研究しており、過去には総務省にも務めていたことがある。

上原教授は、

「ドメイン名というのは、そのサイトが信用できるがどうかの大きな手がかりなんです」

と語り、アクセスの際にドメインを確認することの重要性を強調した。

自治体のサイトが安全であることを示すために、政府は政府系サイトや地方公共団体しか取得できないドメインの使用を推奨しているのだが、徹底できていないのが現状だという。

「政府・公共の機関に関しては、政府・公共の機関しか取れないドメイン名があります。地方公共団体ですと、『lg.jp』が、政府系には『go.jp』が与えられています。政府もこれらの使用を推奨しているのですが、中々徹底されていません」

東京都を始め、多くの地方公共団体が「地域名.jp」を使用している(たとえば東京都なら「tokyo.jp」)。しかし、このドメインは既に地方公共団体専用ではなく、数年前から民間にも開放されているため、誰でも簡単に取得することが出来る。

民間への開放の影響で、自治体のサイトが使用していたURLの失効の際に民間人が取得し、そっくりそのままのURLで別のサイトを運用するケースもあったという。

これに関連して、教授は「zei.tokyo.jp」というURLを確保している。

東京都主税局のサイト「zei.tokyo」は、「tokyo.jp」ですらなく、やはり民間も利用可能な「tokyo」ドメインだ。教授が言うように、「一般の人からは、『zei.tokyo』が公式なのかどうかは一目で分からない」。しかも主税局のサイトは、カード情報を入力して都税の納付が行えるというもの。一見公式に見えてしまう「zei.tokyo.jp」が、悪意のある人間の手に渡ったとしたら――。

「もし、ページを丸ごとコピーしたサイトを作られたら、多くの人のカード情報を集められる」

ことから、悪用される前に取得、確保したのだと語った。また、可能なら「lg.jp」のドメインを使用した新ページへの以降と、現行のURLを確保したまま新ページへのリダイレクトをすることが望ましいと指摘している。

実際に、企業や自治体のページに似せた悪質な偽サイトによる被害は、国内外を問わずに確認されているという。海外では、銀行のサイトの一部を装ってカード情報を集めた偽サイトがあったという。