メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive（以下：TwoFive）とエンバーポイント株式会社（以下：エンバーポイント）は2024年5月22日、なりすましメール対策の実態について調査結果を発表した。本記事では一部内容を抜粋して紹介する。

調査概要

◆調査時期：2024年5月
◆調査対象
▷日経225企業が管理・運用する5,873ドメイン
▷教育機関が管理運用するドメイン（1117大学、13860ドメイン）
▷Mail Publisher利用者のドメイン
◆調査方法：調査対象ドメインおよびサブドメインのDNSレコードを調査
◆主な調査結果：各企業のドメインごとに以下の状況を把握
▷DMARCを導入しているかどうか
▷DMARCのポリシー設定状況「none（何もしないで受け取る）」「quarantine（隔離）」「reject（拒否）」
◆出典元：なりすましメール対策の実態調査結果を発表（エンバーポイント株式会社）

DMARCの導入は1年間で29.4ポイント増加

日経225企業の全225社の内、206社（91.6％）が少なくとも一つのドメインでDMARC（※1）を導入しており、昨年同月（140社／62.2％）と比較すると1年間で29.4ポイント増加した。

206社が運用するDMARC導入済み1861ドメインの内、認証失敗時の取り扱いを指定するDMARCポリシーの設定状況を見ると、強制力のあるquarantine（隔離）またはreject（拒否）にポリシー設定しているのは、現時点で全体の26.8％で、依然としてnone（何もしない）設定が大半となった。

これは、現状のGmailの新ガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示しているだろう。

※1：送信ドメイン認証のためのSPFやDKIMの認証が失敗した場合の対応策を定めたものであり、 メールの受け手側へ認証に失敗したメールの対応方法を指定することが可能となる。

日経企業と比較して対策の遅れる大学

大学におけるDMARC導入率は、昨年同月（1114大学4060ドメイン／9.4％）からは増加したものの、38.4%と非常に低く、なりすましメール対策が進んでいないと考えられる。

また、DMARC導入済みの2890ドメインのうち、全体では83.2%がnoneのポリシー設定で、強制力のあるポリシー（quarantine、reject）への切り替えも今後の課題といえるだろう。

事業の信頼性を高める対策を

2024年2月に発表されたGmailと米国Yahoo!メールのメール送信者ガイドラインの変更への対応は、多くのメール送信者にインパクトを与えた。これは多くの企業が、メールを適切に利用していくための正しい対応を認識する良いきっかけになったといえるだろう。

そこで定められた「DMARC認証（推奨）」では、認証が失敗したメールの処理方法の指定が可能。これによって、独自ドメインをなりすまし被害から保護することが実現する。Google のほかにAOL、Comcast、Hotmail、Yahoo! Mail などのメールドメインが参加しており、FacebookやPaypalなどの送信元企業がすでにポリシーを公開するなど対策が進んでいる（※1）。

事業の信頼性を高めるためにも、常に最新の対策を講じる必要があるだろう。本記事を参考に、今一度自身の状況を確認してほしい。

※1 参考元： 所有ドメインから送信される未認証メールを制御する（Google Workspace 管理者ヘルプ）
関連記事：2024年2月から変わるGmailガイドライン、1日5000件以上のメールを送信する事業者は要チェック