自治体の業務において、メールは日常的に利用される重要な連絡手段です。各種事業の調整、資料の受け渡し、関係機関とのやり取りなど、多くの業務がメールを通じて進められています。

　一方で、近年は自治体を標的としたサイバー攻撃が増加しており、依然としてメールを入口とした事例は確認されています。特に、実在する団体や業務内容を装った「標的型攻撃メール」や「フィッシングメール」は、見た目だけでは真偽の判断が難しく、誰もが被害者になり得る状況となっています。

　標的型攻撃とはターゲットを特定の組織や職員に絞って行うサイバー攻撃です。ターゲットに向けて、上司や関係先団体の担当者になりすましてメールを送り、メールの添付ファイルを開くとマルウェアに感染し、不正アクセスや機密情報が漏洩する事態につながります。

　また、「フィッシングメール」による被害も確認されています。フィッシングメールとは、実在する組織やサービスを装い、偽のWebサイト（フィッシングサイト）へ誘導することで、IDやパスワード等のアカウント情報を入力させ不正に取得する手口です。

　本稿では、これらのうち、標的型攻撃メールの特徴や、日常業務の中で職員一人ひとりが意識すべきポイントを整理し、組織として被害を防ぐための基本的な考え方についてご紹介します。

　近年、ランサムウェアや不正アクセスなど、様々な被害が報告されていますが、その多くのきっかけは、依然として標的型攻撃メールやフィッシングメールからの被害です（ランサムウェア感染については、脆弱性のあるVPN装置を狙われたケースが確認されています）。

　標的型攻撃メールは、無差別に送られるバラまき型メールとは異なり、特定の組織や職員を狙って作成されます。差出人名には実在する団体名や担当者名が使われ、件名や本文も実際の業務内容を調べた上で作られていることが多く、「怪しい」とすぐに気付くことが難しいのが特徴です。

　これまで自治体では、ウイルス対策ソフトや迷惑メール対策など、技術的な対策を中心に取り組んできました。しかし、近年の攻撃は「人の判断」をすり抜けることを狙ったものも多く、生成AIの活用により、件名や本文の表現がより自然で巧妙になり、真偽の見分けがつきにくくなっています。そのため、技術対策だけでは防ぎきれない場面も増えており、職員一人ひとりによる判断や組織での対応が、被害を防ぐ上で重要な要素となっています。

　多くの職員は、毎朝出勤後にメールを確認し、業務を開始します。【至急】【ご確認ください】といった件名を見ると、早く対応しなければと思い、内容を深く確認せずに開いてしまう場面も多くあるかと思います。こうした「いつもの業務の流れ」の中で、標的型攻撃メールの被害は発生しやすくなります。

　また、次のような課題も見られます。

●業務が忙しく、メールを一つひとつ丁寧に確認する余裕がない。

●差出人名だけで判断してしまい、メールアドレスまで確認していない。

●少し不安に思っても、「自分の勘違いかもしれない」と考えて相談せずに開いてしまう。

　これらは特別なミスではなく、誰にでも起こり得る行動です。だからこそ、自分は大丈夫と思わず、誰でも被害に遭う可能性があるという前提で考えることが大切です。

　標的型攻撃メールには、いくつか共通した特徴があります。

　まず、送信元が実在しそうに見える点です。差出人名は、国や自治体、取引先、関係団体など、業務に関係がありそうな名称が使われます。さらに、メールアドレスも本物に似せて作られており、最近の事例では、「microsoft.com」と「rnicrosoft.com」のように、よく見ないと分からない違い（「m」を「r」と「n」に置き換える）を紛れこませる手法も確認されています。

　次に、件名や本文が自然である点です。「〇〇事業に関する資料」「△△会議資料の送付」「至急ご確認ください」など、実際の業務でよく使われる表現が使われ、内容も違和感の少ない文章で書かれています。

　さらに、近年の標的型メールでは、添付ファイルではなく、メール本文中のリンクを通じてフィッシングサイトへ誘導する手口が多く確認されています。メール内のリンクをクリックすると偽のWebサイトが表示され、IDやパスワードの入力を求められる場合があります。

　これらのサイトは、正規のクラウドサービスや業務システムのログイン画面に非常によく似せて作られており、URLを注意深く確認しなければ、偽サイトであることに気付きにくいのが特徴です。一度アカウント情報が取得されると、メールやシステムへの不正アクセスにつながり、被害が組織全体へ拡大するおそれがあります。

　このようなメールを受け取った際には、次の点を意識することが重要です。

●差出人名だけでなく、メールアドレスまで確認する。

●メール本文中のリンクを安易にクリックせず、URLを確認する。

●その内容が本当に自分の業務と関係があるか考える。

　「この団体と最近やり取りしただろうか」「なぜ自分宛てなのだろうか」と、一度立ち止まって考えるだけでも、不審な点に気付ける場合があります。

　標的型攻撃メールへの対策で最も重要なのは、すぐに開かないことと、一人で判断しないことです。

　少しでも不安を感じた場合は、所属の情報セキュリティ担当や上司、組織のCSIRT（シーサート）窓口などに相談してください。「変なメールが届きました」と共有するだけでも、同じメールが他の職員にも届いていないかを確認することができ、組織全体の被害を防ぐことにつながります。

　セキュリティ対策というと、IT担当者の仕事や詳しい人がやるものだと思われがちですが、実際にメールを開き、資料を確認するのは、現場で働く職員一人ひとりです。どれだけシステム側で対策をしていても、最後に判断するのは人であり、その判断が被害を防ぐか、広げてしまうかを大きく左右します。

　本節では、前節で示した「気付き」を踏まえ、実際にどのように行動すべきかという視点で整理します。日常業務の中で、次の三つを意識するだけでも、リスクを大きく下げることができます。これらは個人の対応にとどまらず、組織として共有すべき行動原則です。

●不審点があれば自分だけで判断しない。

●必要に応じて上司や情報セキュリティ担当に共有する。

●組織として報告及び相談しやすい体制をつくる。

　相談することは、決して迷惑ではなく、組織を守るための重要な行動の一つです。

　標的型攻撃メールは、特別な人だけが狙われるものではありません。日常業務の中で、誰のもとにも届く可能性があります。そして、その被害の多くは、「いつもの業務」「うっかり」「急いでいた」といった、ごく普通の状況の中で発生しています。

　セキュリティ対策は、特別な仕事ではありません。毎日の業務の中に、少しだけセキュリティの目を加えること。それだけで、被害を防げる可能性は大きく高まります。

　また、職員や委託先を対象とした標的型攻撃メール訓練を実施することも有効です。訓練を通じて、実際の攻撃を想定した対応を経験することで、職員一人ひとりが「気付き」「立ち止まる」力を身に付けることができます。

　職員一人ひとりの小さな判断の積み重ねが、自治体全体の安全性を支えています。標的型攻撃メールへの備えを、ぜひ日常の業務の一部として意識していきましょう。

 

【出典・参考文献】
■ 独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威 2026」
https://www.ipa.go.jp/security/10threats/10threats2026.html
■ 総務省「国民のためのサイバーセキュリティサイト（標的型攻撃への対策）」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/04/
■ 総務省「サイバー攻撃（標的型攻撃）対策防御モデルの解説」
https://www.soumu.go.jp/main_content/000495298.pdf
■ 老眼の人を狙い撃ち？　「microsoft」ならぬ「rnicrosoft」からの詐欺メールが話題にITmedia NEWS
https://www.itmedia.co.jp/news/articles/2510/27/news106.html