※この記事は2021年06月25日にBLOGOSで公開されたものです

ワクチン接種の予約サイトに「偽サイト」が登場

ようやく日本でも軌道に乗り始めた新型コロナウイルスのワクチン接種。

自治体はワクチン接種予約のためのサイトを作り、速やかな接種の実施に励んでいるが、なんと偽サイトが現れたというニュースがあった。

ニュースによると狙われたのは静岡市の予約サイトで、正規サイトのURLが「shizuokacity-cv.com」であるのに対し、類似サイトは「sizuokacity-cv.com」と、静岡の「shi」が「si」となっており、手入力で入力したときに間違いやすいURLとなっていることから、静岡市は注意を呼びかけている。(*1)

なお、類似サイトのURLにアクセスしたところ現在では類似サイトのURLはサイトとしては機能しておらず、ドメインがすでに売りに出されていることが分かるのみであった。

念のためにWHOIS検索(ドメインの所有者情報を調べる手法)をしてみると、正規サイトのドメインが今年の2月18日に取得されているのに対して、類似サイトのドメインは今年の6月2日に取得されていることから、明らかに静岡市の予約サイトが開設された後に、誤入力を狙って取得されたドメインであることが分かる。

現在は類似サイトは稼働していないものの、新しい所有者が現れて怪しいサイトを設置する可能性もあるので、呼びかけの通りURLは直接キーボードから入力するのではなく、静岡市のサイトからリンクを辿って欲しい。

誰でも取れる「.com」ドメインでの運用に疑問

だが、気になることもある。

ニュースを見ると、さも静岡市が一方的な被害側であるかのように報じられているが、正直「.com」ドメインを使って新型コロナウイルス予約サイトを開設したことは感心しない。

大半の静岡市の人たちは静岡市のサイトからリンクされた「shizuokacity-cv.com」というサイトが静岡市が提供している正しい予約サイト」であることを疑いもしないのだろうが、僕だったらこの「shizuokacity-cv.com」というサイトからリンクされた先に対して、接種券情報を含む個人情報を入力することを躊躇する。

なぜなら「.com」ドメインというのは、お金さえ支払えば世界中の誰でも取得できるトップレベルドメイン(URLの末尾につく文字列のこと)だからだ。そして既存の有名ドメイン名に似ている別のドメインを取得することに、なんの制限も存在しない。

今回の件でも類似サイトのドメインの取得自体は正当な行為であり、「sizuokacity-cv.com」というドメインを利用して、静岡市とは関係のない個人が、静岡の美味しいお店の情報を届けるサイトを運営したとしても、静岡市に文句を言う権利はないのである。もちろん、不正に情報を取得しようとすれば、それは犯罪である。

それは「.com」ドメインが、商用サービスのために世界中に向けて広く提供されているオープンなトップレベルドメインだからである。

個人では取得できない「go.jp」や「lg.jp」

そうしたオープンな「.com」といったトップレベルドメインに対して、取得に制限があるドメインも存在する。

その一部が「go.jp」や「lg.jp」といったドメインである。

前者は「go=Government」であり、日本の政府機関や独立行政法人などしか取得できず、後者は「lg=Local Government」であり日本の地方自治体でしか取得できない。

そして静岡市のドメインも「city.shizuoka.lg.jp」である。

「lg.jp」のドメインは個人が取得することができないので、今回のように知らない誰かが「city.sizuoka.lg.jp」というドメインを取得してそこに怪しいサイトを設置する心配はないのである。

本来であれば、新型コロナウイルスワクチンの予約サイトも、例えば「cv.city.shizuoka.lg.jp」のように、静岡市のサブドメイン(保持している独自ドメインを分割するためのドメイン)として運用すれば良かったはずだ。

行政関連のサービスはgo.jpやlg.jpで。そうした運用が一般化していれば、行政のフリをした類似サイトを見分けるときでも「一番最後がgo.jpや、lg.jpになっていることを確認してください」とだけ言えば良く、わざわざ公式サイトからリンクを辿って確認せずとも、URLそのものを見れば、信頼性が確認できるのである。

外部企業のワクチン予約サイトに飛ぶ例も

しかし、静岡市に限らず、現実問題としてlg.jpで運用されているワクチン予約サイトは見当たらない。

実際の運用としてはワクチン予約業務を委託している企業が持っているドメインで運用されている。すると、URLだけを見ると、役所のURLから突然見知らぬ企業のURLに変化することになる。

いくつかの予約サイトを確認したが、ほとんどの予約サイトでは行政の名前しか入っておらず、この予約サイトの運用をどこの会社が行っているのかが書かれていない、または書かれていても見つけづらいサイトが大半だった。

この状態で「ここに個人情報を入力してください」と言われても、ネットリテラシーが高い人であればあるほど、安心できないということになってしまうのである。

結果、ほとんどのワクチン予約システムは利用者に不安を強いる代物となっており、少々の危険性に目をつぶって「えいや!」と個人情報を入力するしかないというのが現状となってしまっているのである。

こうした状況が放置されているからこそ、今回のような問題が発生したときに「手入力しないでください」「行政のサイトからリンクを辿ってください」という、とても対策とは言えない対策をアナウンスしなければならない羽目に陥るのである。

行政サービスは「go.jp」や「lg.jp」で提供されるべき

結論として、本来であれば行政サービスの入り口はgo.jpやlg.jpで提供されるべきである。それであればURLの末尾を確認するだけで安全性が確保される。それがなんらかの理由できないのであれば、できるように改善するべきである。

そしてそこから飛んだ先が委託先の企業のサイトであるならば、その企業名をハッキリと分かりやすく示すべきである。

少なくとも現状では、行政で取り扱うべき個人情報を、行政のサイトからリンクで飛んだ、どこか分からない別企業のURLに入力することになっており、これは危険性を含む行為である。

ましてやそれが、世界中の誰もが取得できる「.com」ドメインで運用されるというのであれば、類似サイトが出てきて当然であり、利用者の安全を考えていない運用であるということを、行政関係者には肝に銘じてもらいたい。

*1:手入力はやめて…「Shi」を「Si」に間違えると偽サイトへ ワクチン接種予約に類似のサイト 静岡市(静岡朝日テレビ)https://look.satv.co.jp/_ct/17460805