自信はありますか?

あなたはこの偽URLを
御蔵島村公式サイトのURLだと言われても
騙されない自信がありますか?

本物 (公式サイト) https://www.vill.mikurasima.tokyo.jp/
si が shi に
偽サイト (誰でも取得可能) https://www.vill.mikurashima.tokyo.jp/

ローマ字には二種類ある

ほとんど同じですが、致命的な違いがあります。

ヘボン式
  • chi, shi, tsu など
ほぼ全ての自治体が利用
訓令式
  • ti, si, tu など
御蔵島村だけが利用
脆弱性の仕組み (Plus Aid)

市区町村名に "shi" や "chi" などヘボン式特有の文字が入っている場合

 訓令式バージョンの 例) si**.tokyo.jp は、誰でも取得可能

 本物と見分けがつかない!

東京都公式サイトが被害に

過去には、東京都の公式サイトに酷似したドメインが取得され、フィッシングサイトに悪用されました。

metoro事件

公式サイト
www.metro.tokyo.jp

偽サイト(met【o】ro)
www.metoro.tokyo.jp

この偽ドメイン上で、海外サーバーを経由したフィッシングサイトが構築されました。
参考:【注意喚起】東京都ホームページのURL確認について

現在、東京都ホームページは自治体しか取得できないドメイン metro.tokyo.lg.jp が使用されています。

なぜ御蔵島村が危険なのか?

常識としての判断基準
通常は「訓令式(si, ti, tu)があれば、それは自治体公式ではない」と判断できます。
(御蔵島村を除く)
逆転現象
御蔵島村は「si(本物)」を使っているため、逆に「shi(偽物)」の方が一般人には本物らしく見えてしまう。
「自治体URLはヘボン式だ」という啓発を行えば行うほど、御蔵島村の偽サイト(shi)にお墨付きを与えてしまうことになる。

御蔵島村だけの問題ではありません

".jp" 以外を使用している自治体も多数存在し、なりすましリスクに晒されています。

提言:すべての自治体は期限を定めて "lg.jp" に

「lg.jp」とは、地方公共団体しか取得できない厳格なドメインです。

lg.jp

例:https://www.city.shinjuku.lg.jp/

URLの末尾を見るだけで「公式サイト」か判別可能。