防災メールが「詐欺の道具」に――和歌山県の配信サービス悪用で問われる公的通知の信頼

住民の命を守るはずの防災メールが、詐欺の踏み台に変えられた。和歌山県は、災害・気象情報を届ける「防災わかやまメール配信サービス」の登録受付用メールアドレスが第三者に悪用され、県を装った不審なメールが送信されていたと公表した。メールはLINEのQRコード送付や銀行口座情報の入力を求める内容で、公的機関の“送信元”を偽装することで受信者の警戒心を解こうとする、たちの悪い手口だった。県は配信機能を停止し、被害の可能性がある住民に緊急の対応を呼びかけている。

何が起きたのか

和歌山県によると、令和8年(2026年)6月30日、外部から「防災わかやまメールの登録受付用アドレスから迷惑メールが届いている」との情報提供があった。県が調査したところ、第三者が同サービスの登録受付用メールアドレス(regist@bousai.pref.wakayama.lg.jp)を送信元として不正利用し、受信者に情報の返信・入力を求める不審なメールを送っていたことが判明した。

このアドレスは本来、登録の受け付けだけに使う受信専用アドレスであり、県からメールが送信されることはない。それにもかかわらず「県の公式アドレス」が差出人に表示されていたため、受け取った側は正規の連絡だと誤認しやすい状態だった。報道によると、悪用によって送られた不審メールは約1万3000件にのぼるとされる(件数は未確認)。

不審メールの中身は、大きく分けて二つの情報を求めるものだった。一つは個人のLINE QRコードの送付依頼、もう一つは銀行名・口座番号・名義といった銀行口座情報の入力・返信依頼である。県は「県がメールでLINEのQRコードや口座情報を求めることは一切ない」と明言し、これらのメールが県の発信ではないことを強調した。現時点で個人情報の流出は確認されていないという。

送信元偽装という手口の巧妙さ

今回の事案の本質は、システムへの侵入による情報窃取ではなく、信頼される送信元アドレスを“看板”として借用された点にある。行政機関のドメインを差出人に掲げるだけで、フィッシングメールの説得力は跳ね上がる。防災という文脈も相性が悪い。災害情報の登録者は「重要な通知かもしれない」と身構えて開封しやすく、緊急性を装う詐欺と親和性が高いからだ。

県が求めた情報の種類も、被害の深刻さを示している。LINEのQRコードを送ってしまえば、攻撃者はその人になりすまして友だちに接触し、二次的な詐欺へ広げられる。口座情報を渡せば、不正利用や資金の窃取に直結する。いずれも一度渡すと取り返しがつきにくい情報であり、県が「至急の対応」を促すのはこのためだ。

情報を渡してしまった人への対応

県は、すでに情報を送ってしまった住民に対して具体的な手順を案内している。LINE QRコードを送信した場合は、LINEアプリの「設定」>「プライバシー管理」>「QRコードを更新」から旧コードを無効化し、友だちリストに不審なアカウントが登録されていないかを確認するよう求めている。不審なアカウントがあれば通報・ブロックする。銀行口座情報を回答した場合は、直ちに利用金融機関へ連絡し、不正利用の停止措置を相談するよう呼びかけている。

メールを開封していない、あるいは開封しても操作していない場合は、添付ファイルや本文中のリンクをクリックせず、そのまま削除すればよいとしている。被害の心当たりがある場合は最寄りの警察への相談を促している。

サービスの運用面では、県はすでに配信機能を停止し、新たなメールが送信されないようにしたうえで、新規登録も一時停止した。ただし既存の登録者には防災情報の配信を継続している。県は令和8年7月3日15時から新規登録を再開したと案内している。

公的通知の信頼をどう守るか

この事案が突きつけるのは、行政からの「正規の連絡」を住民がどう見分けるのか、という難しい問いである。防災メールは、その性質上、多くの住民が受信を登録し、通知が来れば開くことを前提に成り立っている。その信頼が偽装に利用されると、単なる金銭被害にとどまらず、本物の災害通知まで疑われかねない。防災インフラそのものの信用が損なわれるリスクがある。 自治体や公的機関にとっては、送信ドメイン認証(SPF・DKIM・DMARC)の強化や、そもそも「メールで個人情報やQRコードを求めない」という運用ルールの明確化と周知が、こうしたなりすましへの現実的な防波堤になる。受け取る側にとっても、差出人アドレスが本物らしく見えても、口座情報やQRコードの送付を求める連絡は疑ってかかる、という基本姿勢が改めて重要になる。公的な差出人ほど狙われるという逆説を、今回の一件は静かに示している。

出典・参考リンク