和歌山県は2026年7月、防災情報を配信する「防災わかやまメール配信サービス」の登録受付用アドレスが第三者に悪用され、LINEのQRコードや銀行口座情報を求める不審メールが出回っていると公表しました。県は「個人情報の流出は確認していない」としていますが、注目すべきは本来メールを送るはずのない「受信専用アドレス」を装って迷惑メールが送られていた点です。これは自組織のドメインを騙る「なりすまし送信」の典型で、どの企業・団体にとっても人ごとではありません。
この記事でわかること
- 和歌山県が公表した事案の事実関係(何が起き、何が求められていたか)
- 「受信専用アドレス」から迷惑メールが届くのはなぜか(なりすまし送信の仕組み)
- 自組織のドメインが騙られると何が起きるのか、情シスにとっての本当のリスク
- 情シスが打つべき手(DMARCなど送信ドメイン認証と、公的指針への入口)
何が起きたのか
和歌山県の公表内容を整理すると次のとおりです。
| 項目 | 内容 |
|---|---|
| 発覚 | 2026年6月30日、外部からの情報提供により判明 |
| 公表・サービス再開 | 2026年7月3日(新規登録受付など一部を停止していたが、外部アクセス制限・設定見直しのうえ再開) |
| 悪用されたアドレス | regist@bousai.pref.wakayama.lg.jp(登録受付用の受信専用アドレス) |
| 不審メールの内容 | 個人のLINE QRコードの送付依頼/銀行口座情報(銀行名・口座番号・名義等)の入力・返信依頼 |
| 県の説明 | 「これらは本県が送信したものではない」「県がメールでLINEのQRコードや口座情報を求めることは一切ない」「個人情報の流出は確認していない」 |
県は利用者に対し、不審メールのリンクや添付は開かず直ちに削除するよう呼びかけ、すでにQRコードを送ってしまった場合はコードの更新(無効化)を、口座情報を返信してしまった場合は金融機関への連絡と不正利用停止の相談を、被害があれば最寄りの警察への相談を案内しています。
「受信専用アドレス」からなぜ迷惑メールが届くのか
差出人(From)を偽装する「なりすまし送信」が使われた可能性が高いためです。メールの差出人アドレスは、封筒の差出人欄と同じで送信側が自由に書けてしまいます。攻撃者は自前のサーバから、和歌山県の登録用アドレスをFromに詐称してばらまくことができます。県が「本来この受信専用アドレスからメールは送信されない」と説明しているのは、まさにこの構図を指しています。今回の詳細な手口はすべてが公開されているわけではありませんが、少なくとも正規のドメインを騙ることで受信者の警戒を解こうとしたことは明らかです。
公的機関や有名企業のアドレスは、受信者にとって「信頼できる差出人」に見えます。攻撃者はその信頼を借りて、フィッシング(口座情報やアカウント情報を抜き取る詐欺)へ誘導します。今回のLINEのQRコードや口座情報の要求は、その典型的な狙いです。
なりすましメールはどれくらい多いのか。フィッシング対策協議会の報告によれば、観測されたメールのうちなりすまし送信が平均約75%、多い時期には9割超を占め、フィッシング報告件数も年間100万件を超える規模で推移しています。もはや例外的な手口ではなく、メールを使う組織すべてが「自分の名前を騙られる」前提で備える段階に来ています。
情シスにとっての本当のリスク
今回の当事者は自治体ですが、構図は民間企業でもまったく同じです。自社のドメインが騙られると、次のような被害につながります。
- 顧客・取引先が詐欺被害に遭う:正規に見えるメールで口座情報やパスワードを詐取される。実害が出れば「あの会社を騙るメールで騙された」と、自社のブランドが傷つく。
- 問い合わせ・対応コストの増大:不審メールに気づいた利用者からの問い合わせが殺到し、注意喚起や個別対応に追われる。今回の和歌山県のように、サービス停止に踏み切らざるを得ないこともある。
- 正規メールが届かなくなる二次被害:なりすましが横行したドメインは、受信側のフィルタで警戒され、本当に送りたいメール(請求書・重要通知)まで迷惑メール扱いされやすくなる。
見落とされがちなのは、「送信していない受信専用アドレスやメルマガ用ドメインこそ狙われる」点です。日常的に送信していないアドレスは、なりすまし対策(後述の送信ドメイン認証)が未設定のまま放置されがちで、攻撃者にとって「防御の薄い正規ドメイン」になってしまいます。
現場目線の所感
正直なところ、「自社の名前を騙るメール」は、情シスにとって最ももどかしい脅威の一つです。攻撃は自社のサーバの外で起きるため、こちらのログには何も残らず、被害を最初に知るのは決まって外部からの通報――今回の和歌山県も外部の情報提供が発端でした。自社の設備が侵害されたわけではないのに、ブランド毀損と問い合わせ対応の負担だけが押し寄せる。この「守りようがなさ」に歯がゆさを感じた担当者は多いはずです。だからこそ、事後対応に消耗する前に、なりすましそのものを技術的に成立させない仕組み(送信ドメイン認証)を平時に入れておく価値が大きいと感じます。
情シスはどうすべきか
個別のチェックリストを長々と並べるより、確立された公的な指針を起点にするのが近道です。要点と使いどころだけ添えて紹介します。
- 送信ドメイン認証(SPF/DKIM/DMARC)を整える。なりすまし対策の本丸です。とりわけDMARCは、自ドメインを騙るメールを受信側で「隔離」または「拒否」させることができ、設定を強化して初めて実効的な対策になります。国内では「監視のみ(p=none)」で止まっている組織が多く、総務省も2025年9月に電気通信事業者へ「隔離・拒否」への引き上げを要請しています。まずは自組織の全ドメイン(送信していないメルマガ・通知用も含む)の設定状況を棚卸ししましょう。実装は迷惑メール対策推進協議会の「送信ドメイン認証技術 DMARC 導入ガイドライン」が具体的で、必要性の全体像はフィッシング対策協議会の「DMARCの導入状況と必要性について」が参考になります。
- 「騙られたとき」の告知フローを用意しておく。自社を装うメールが出回った際に、公式サイトのどこに、どんな文面で注意喚起を出すかを平時に決めておくと、初動が早まります。今回の和歌山県の告知(「県がQRコードや口座情報を求めることはない」と明言)は、利用者が真偽を判断する助けとして参考になります。
- 利用者・従業員への地道な啓発を続ける。技術対策をすり抜けたメールを止める最後の砦は「人」です。「正規に見えても、口座情報やQRコードをメールで求められたら疑う」という基本の周知が効きます。教材としてIPA「情報セキュリティ対策のしおり」が使いやすいです。
- 組織全体の底上げは公的ガイドラインを土台に。中小規模の関連組織まで含めて最低ラインを揃えるなら、IPA「中小企業の情報セキュリティ対策ガイドライン」(第4.0版)が指針になります。
関連して、乗っ取られた正規アカウントが踏み台にされる手口はアカウント乗っ取りでスパム踏み台に 日中経済協会の事例で、公的機関や企業を装う詐欺の実態はサポート詐欺で患者情報流出か 私物PC管理の死角で取り上げています。攻撃の最新傾向はJPCERT定点観測レポートで読む攻撃の最新傾向、組織的な底上げの考え方はIPA中小企業セキュリティ対策ガイドライン4.0版の要点もあわせてご覧ください。
まとめ
- 和歌山県の防災メールの受信専用アドレスが「なりすまし送信」に悪用され、LINEのQRコードや口座情報を求める不審メールが出回った。県は送信元ではなく、個人情報流出も確認されていない。
- 差出人アドレスは詐称できるため、正規ドメインを騙るなりすましは誰にでも起こり得る。送信していない受信専用アドレスほど対策が手薄で狙われやすい。
- 情シスはDMARCなど送信ドメイン認証を全ドメインで整え(「隔離/拒否」まで引き上げる)、騙られた際の告知フローと利用者啓発を平時に準備しておきたい。

