2025年5月27日17:54
TwoFiveは、なりすましメール対策実態調査の最新結果を発表した。今回は、日経225企業が管理・運用する8,889ドメインについて2025年5月時点での送信ドメイン認証技術DMARC導入実態調査に加えて、教育機関として大学(国立、公立、私立、短大合わせて1,075校が管理・運用する3,158ドメイン)を対象として調査したそうだ。
日経225企業は、2025年5月時点で208社(92.4%)が少なくとも1つのドメインでDMARCを導入しており、半年前の2024年11月(92.0%)からは0.4ポイントの増加であり、ほぼ横ばいで推移している。
一方で、DMARC導入済みドメインのうち、強制力のあるポリシーであるquarantine(隔離)またはreject(拒否)にポリシー設定されているドメイン数は642ドメイン確認されている。日経225企業で、少なくとも1つのドメインで強制力のあるポリシーを設定した組織は124社(55.1%)で、1年間で6.7ポイントの増加が見られており、大企業での強制力のあるポリシーへの切り替えが進んでいる。
「DMARC集約レポート」を受け取る設定にしているドメインの割合は、90.3%と非常に高く(昨年同月は84.3%)、意図しないメール送信を見つけるために、メールがどのように認証され処理されたかを把握しようとする意識は高いと考えられる。しかしながら、ポリシーがnone(何もしない)の設定では、メール送信状況を可視化するには有効だが、なりすましメールを制御できず、なりすましメールはメールボックスに届いてしまう。DMARCを導入していても、none設定によるモニタリング段階のドメインは攻撃者に狙われるので、なりすましのリスクを軽減するためには、強制力のあるポリシー設定にステップアップすることが望まれるとしている。
現時点でいずれのメールドメインにおいても、まだDMARCを導入していない17社(7.6%)の内8社はグループ会社の持株会社で、事業会社と比較するとDMARC導入が遅れている傾向があると言える。
しかしながら、例えば実際にはメールを送信しないドメインであっても攻撃に利用される可能性もあり、組織ドメインに対してDMARCレコードを設定してポリシーをrejectにすることが望まれるとした。
大学のDMARC導入率は45.1%で、昨年同月(38.4%)と比較すると1年間で6.7ポイント増加しているものの、Google /米Yahoo!のガイドラインの影響が大きかった昨年の増加(27.1ポイント)には及ばなかった。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト
