株式会社TwoFiveは、なりすましメール対策実態調査として、送信ドメイン認証技術の「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」の導入状況について調査し、その結果を5月18日に公表した。日経平均株価を構成する225社におけるDMARCの導入率は62.2%だった。一方、大学では9.4%にとどまっている。
調査は1月~5月に実施。日経225企業が管理する5261ドメインと、国立大学/公立大学/短期大学/私立大学の1114校が管理する4060ドメインを対象にDNSレコードを参照して行った。
DMARCは、送信元のメールサーバーが正しいIPアドレスか確認する「SPF(Sender Policy Framework)」と、メールに電子署名を付与する「DKIM(DomainKeys Identified Mail)」を利用したドメイン認証技術。なりすましメールなど、SPFまたはDKIMの認証に失敗したメールの扱いは受信サーバーの判断に任されるが、DMARCを用いると、認証に失敗したメールをどう処理すればいいのかというポリシーを、送信元ドメインの所有者側がDNSレコードで表明しておける仕組みとなっている。
「DMARC」の導入状況
2023年5月時点で、日経225企業のうち140社(62.2%)が少なくとも1つのドメインでDMARCを導入していることが分かった。1年前の2022年5月の調査では112社(49.8%)だった。導入率は1年間で12.4ポイント増加しており、「なりすましメール対策への意識が高まっている」(TwoFive)としている。なお、2022年2月の調査(参考値)では79社(35.1%)だった。
日経225企業DMARC導入状況(n=225)
大学では、1114校のうち9.4%が少なくとも1つのドメインにDMARCを導入するにとどまっており、「日経225企業の結果と比較すると非常に低く、なりすましメール対策が進んでいないと考えらる」(TwoFive)という。大学種別では、国立大学が86校/1691ドメイン(25.6%)、公立大学が99校/321ドメイン(5.1%)、短期大学が304校/655ドメイン(5.6%)、私立大学が625校/1393ドメイン(9.8%)。
大学種別のDMARC導入率(n=1114)
設定されているDMARCのポリシーは?
DMARCのポリシーは、メールの認証が失敗した際にどのように扱うか、送信元ドメインの所有者がDNSのレコードとして公開しておくものだ。「none」は認証に失敗しても何も行わないが、「quarantine」は迷惑メールフォルダーに振り分ける、「reject」は受信サーバーがメールの受け取りを拒否するという強制力のあるポリシーとしている。
2023年5月時点で、日経225企業のうち140社がDMARCに対応した971ドメインを運用しているが、「reject」が190ドメイン、「quarantine」が118ドメインで、計308ドメイン(全体の31.7%)において強制力のあるポリシーが設定されている。一方、「none」は663ドメイン。
1年前の2022年5月の調査(n=255)では、「reject」が161ドメイン、「quarantine」が59ドメインで、計220ドメイン(33.5%)において強制力のあるポリシーが設定されていた。「none」は436ドメインだった。
なお、2022年2月の調査(参考値)では、「reject」が114ドメイン、「quarantine」が31ドメイン、「none」が321ドメインだった。
日経225企業DMARCポリシー状況
大学のDMARCポリシー(n=320)は、全体で「reject」が2.5%、「quarantine」が10.9%、「none」が86.6%だった。
大学種別では、国立大学は「reject」が1.6%、「quarantine」が3.7%、「none」が94.7%、公立大学は「reject」が0%、「quarantine」が50.0%、「none」が50.0%、短期大学は「reject」が0%、「quarantine」が30.4%、「none」が69.6%、私立大学は「reject」が4.9%、「quarantine」が17.6%、「none」が77.5%だった。
大学種別のDMARCポリシー設定率 (n=320)
メールにロゴアイコンが付与できる「BIMI」の導入率
送信ドメイン認証が正しく行われたメールには、企業のアイコンなどを付与できる「BIMI(Brand Indicators for Message Identification)」という機能がある。今のところ、GoogleやAppleなどが提供する主要なメールサービスで対応が進んでいる。
2023年4月にTwoFiveがBIMIを利用していると確認した3724ドメインを対象に行われた調査では、ロゴの認証マーク証明書「VMC(Verified Mark Certificate)」を設定しているのは865ドメイン(23.3%)にとどまっている。
BIMI対応メールドメイン状況
さらにVMCを設定している865ドメインのうち252ドメイン(29.1%)には、設定の不備が確認された。設定不備の内訳は、「VMCのドメイン情報が不一致」が112ドメイン(48%)、「VMCの有効期限切れ」が58ドメイン(23%)、「VMCの画像情報とSVG画像が不一致」が35ドメイン(14%)、「一時工ラー(アクセス不可など)」が33ドメイン(13%)、「VMCの画像フィールドなし」が2ドメインで(1%)、「その他」が2ドメイン(1%)となっている。
