なりすましメール対策、日経225企業のDMARC導入率は92.0％～TwoFive調査

　株式会社TwoFiveは11日、なりすましメール対策実態調査の最新結果を発表しました。調査は、日経225企業が管理・運用する7615ドメインについて、2024年11月時点での送信ドメイン認証技術「DMARC」の導入実態と、10月1日〜31日の期間でメールサービスの受信側DMARC対応状況について行われた。

　調査によると、日経225企業は2024年11月時点で、207社（92.0％）が少なくとも1つのドメインでDMARCを導入しており、半年前（2024年5月）調査の91.6％からは0.4ポイントの増加だが、前年同月との比較では24.0ポイントの増加となった。

日経225企業DMARC導入状況（n=225）

　DMARC導入済みドメインの内、強制力のあるポリシーであるquarantine（隔離）またはreject（拒否）にポリシー設定されているドメイン数は、622ドメイン確認された。日経225企業で、少なくとも1つのドメインで強制力のあるポリシーを設定した組織は114社（50.7％）で、1年前の37.3％から進展が見られる。

日経225企業強制力のあるポリシー設定状況

　「DMARC集約レポート」を受け取る設定にしているドメインの割合は88.6％で依然として非常に高く、意図しないメール送信を見つけるために、メールがどのように認証され処理されたかを把握しようとする意識は高いと考えられるとしている。

　しかし、ポリシーがnone（何もしない）の設定では、メール送信状況を可視化するには有効だが、なりすましメールを制御できず、なりすましメールはメールボックスに届いてしまうと指摘。DMARCを導入していても、none設定によるモニタリング段階のドメインは攻撃者に狙われるため、なりすましのリスクを軽減するためには、強制力のあるポリシー設定にステップアップすることが望まれるとしている。

日経225企業 DMARC導入ドメインのポリシー設定状況

　受信側のメールサービスについては、TwoFiveが提供するDMARCレポート分析サービス「DMARC/25」が観測したDMARCレポートデータを基にして、2024年10月1日〜31日の期間で調査を実施した。その結果、DMARCポリシーに従ったなりすましメールの処理をする受信側のメールサービスは664サービスが確認され、昨年同時期の349サービスの2倍に増加した。

受信側でのDMARCレポート対応サービス数（2023年10月、2024年10月）

　TwoFiveでは、DMARCが登場した当初は、DMARCの仕様上、国内のメールサービス事業者などの第三者がメールの検証結果を知ることは通信の秘密を侵害するという見方があったが、2022年頃からGmailやYahoo!メール、Microsoftなど大手メールサービスプロバイダーがDMARCに対応するようになり、国内では総務省が法的な留意点を発表するなどにより、国内のメールサービス事業者も受信側のDMARC対応が進んでいると考えられると分析する。

　DMARCは、送信側だけでなく受信側も対応してこそ効果が最大化されるが、全体的に、送信側のDMARC対応に比べて、受信側のDMARC対応が進んでいない傾向にあり、今後、受信側のDMARC対応が増加することが期待されるとしている。

　TwoFiveは、DMARCおよびBIMIの導入技術支援、DMARCレポート解析サービス、DMARCレポート作成サービスなどを提供しており、今後も、DMARCおよびBIMI導入を促進する啓発活動や効果的に運用するためのサポートに尽力していくとしている。