近年、私たちの生活に深く根ざしたインターネットは、行政サービスにおいても不可欠なインフラとなっています。公的機関が提供するウェブサイトやメールシステムは、情報発信、手続き、そして住民とのコミュニケーションの要であり、その安全性は極めて重要ですが、サイバー攻撃の脅威に常に晒されています。ひとたびインシデントが発生すれば、社会的な混乱や信頼失墜を招く可能性があります。

　今回は、実際に発生した二つの事例を挙げ、公的機関が直面するサイバー攻撃の具体的な手口と、それに対する効果的な対策について掘り下げていきます。これらの事例は、決して対岸の火事ではなく、私たち一人ひとりのサイバーセキュリティ意識向上の重要性を示唆します。

　具体的な障害事例として、二つのケースをご紹介します。

　Ａ県の特設サイトに設置された問い合わせフォームが不正に利用され、大量の迷惑メールが送信されるという事案が発生、サイトは一時的に閉鎖に追い込まれました。サイトに設置された「問い合わせフォーム」が悪用されました。通常、このようなフォームは利用者からの質問や意見を受け付けるためのものですが、悪意のある攻撃者はこの機能を逆手にとり、自動送信プログラムなどを用いて大量の迷惑メールを送りつける「踏み台」として利用したと考えられます。ウェブサイトの入力フォームが適切なセキュリティ対策なしには脆弱性となり得ることを示しました。

　Ｂ県教育委員会のメールサーバが乗っ取られ、約140万通もの迷惑メールが教育委員会の正規ドメイン名で外部に送信された事案が発生しました。このインシデントは外部からの情報提供で発覚しました。メールサーバの乗っ取りは、単なるウェブサイトの悪用以上の深刻な影響を及ぼします。具体的には、Ｂ県教育委員会のドメイン信頼性が著しく低下し、正規のメール（例えば、学校からの連絡や教職員間の重要な情報伝達）が迷惑メールとして扱われたりブロックされたりする可能性が生じます。また、メール機能の麻痺は教育現場の連絡網寸断や行政手続の遅延など業務に甚大な影響を与え、一度失われた信頼と評価の回復には多大な時間と労力を要します。この事例は、サーバやネットワーク機器といったITインフラそのものへのセキュリティ対策の重要性を浮き彫りにしました。

　公的機関がサイバー攻撃の標的となる理由は主に四つです。

　公的機関のウェブサイトやメールは高い信頼性を持つと認識されており、攻撃者はこの信頼性を逆手に取って、迷惑メールの開封率を高めたり、悪質なリンクへのクリックを促したりすることで、詐欺やマルウェア感染をより効果的に狙います。

　多くの公的機関のシステムは、長年の追加・連携により複雑化しており、予算やリソースの制約から老朽化したシステムが使われ続けることもあります。こうした状況が脆弱性の温床となり得ます。

　最新の攻撃手法に対応するための継続的な教育や訓練の不足、担当者異動による引き継ぎ不足など、組織全体のセキュリティ意識が不十分な場合があり、設定ミスや運用上の不備が攻撃の隙を与えてしまいます。

　公的機関への攻撃は、その知名度の高さからメディアの注目を集めやすく、社会的な影響も大きいため、攻撃者は自身の存在をアピールしたり、特定のメッセージを発信したりする目的で狙うことがあります。

　上記のような事例を二度と繰り返さないためには、組織としての多層的かつ継続的な防御構築が不可欠です。

　ウェブサイト、メールサーバ、ネットワーク機器、アプリケーションなどすべてのIT資産に対し、定期的なセキュリティ診断と脆弱性検査を実施し、潜在的な脆弱性を早期に発見・修正に努めます。OSやソフトウェア、アプリケーションのセキュリティパッチを遅滞なく適用することは、既知の脆弱性悪用を防ぐ基本中の基本です。また、デフォルト設定の見直しや不要なサービス・ポートの閉鎖、最小権限の原則に基づくアクセス制御を徹底するなど、セキュリティに配慮した設定に見直す必要があります。

　サーバやネットワーク機器、アプリケーションのアクセスログや操作ログを継続的に取得・保存し、インシデント発生時の原因究明や不審な活動の早期発見に活用します。SIEM（Security Information and Event Management）などのツールを導入し、ログのリアルタイム分析や異常検知を行うことで、不正アクセスや不審な挙動を早期に発見できる体制を構築します。専門のセキュリティ監視サービス（SOC:Security Operation Center）の利用も有効です。

　ウェブアプリケーションの脆弱性を狙った攻撃を防ぐにはWAFが非常に有効です。WAFは、ウェブサイトへの通信を監視し、SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃パターンを検知してブロックします。Ａ県の事例のような問い合わせフォームの悪用も、WAFによって防げる可能性が高まります。

　Ｂ県の事例のようなメールサーバの不正利用は、「メールの不正中継」と呼ばれるものです。総務省による「地方公共団体における情報セキュリティポリシーに関するガイドライン」でも、メールの不正中継に対する対策の必要性が明記されています。SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARC（Domain-based Message Authentication, Reporting & Conformance）といった送信ドメイン認証技術を適切に設定し、メールの送信元が詐称されていないかを確認でき、迷惑メールとして利用されるリスクを低減します。メールサーバの管理アカウントなど重要なシステムへのアクセスには、IDとパスワードだけでなく別の要素（スマートフォンアプリのワンタイムパスワードや生体認証など）を組み合わせた多要素認証（MFA）を導入し、不正アクセスを困難にします。また、受信メールに対しても、高度なアンチスパム・アンチウイルス機能を導入し、悪意のあるメールが内部に侵入することを防ぎます。

　職員全員に対し、フィッシング詐欺、標的型攻撃、ソーシャルエンジニアリングなどの脅威に関する定期的なセキュリティ研修を実施し、セキュリティ意識を高めます。インシデント発生時の連絡体制、対応手順、関係部署との連携などについて、机上訓練やシミュレーションを定期的に実施し、有事の際に迅速かつ適切に対応できるよう準備します。推測されにくい複雑なパスワードの設定を義務付け、定期的な変更を促すとともに、使い回しを禁止するなどのパスワードポリシーを徹底します。

　サイバー攻撃を完全に防ぐことは困難なため、万が一インシデントが発生した場合に被害を最小限に抑え、迅速に復旧するためのインシデントレスポンスチーム（CSIRT: Computer Security Incident Response Team）を設置することが極めて重要です。役割分担、連絡フロー、初動対応、証拠保全、復旧計画などを事前に定めておく必要があります。

　Ａ県とＢ県の事例は、公的機関といえどもサイバー攻撃の脅威から無縁ではなく、組織の信頼や業務、ひいては住民生活に甚大な影響を及ぼす可能性を改めて示しました。

　2025年７月１日から、内閣サイバーセキュリティセンター（NISC）は国家サイバー統括室（NCO）へ改組され、国全体のサイバーセキュリティ対策は一層強化されることになります。これは、国全体としてサイバー攻撃への備えを一層強固にしようとする強い意思の表れです。

　しかし、技術的な対策や法制度の整備だけでは不十分です。最も重要なのは、組織全体、そして私たち一人ひとりがサイバーセキュリティに対する高い意識を持ち、常に最新の脅威動向に注意を払い、適切な行動を実践することです。「知ること」は「守ること」の第一歩であり、これらの教訓を活かし、安全なデジタル社会の実現に向けて、ともにサイバーセキュリティ意識を高めていきましょう。

【出典・参考文献】
■ 総務省／報道資料「地方公共団体における情報セキュリティポリシーに関するガイドライン」等の意見募集の結果及び改定版の公表
https://www.soumu.go.jp/menu_news/s-news/01gyosei02_02000355.html