2025年05月21日 10時50分
株式会社TwoFive

なりすましメール対策実態調査の最新結果を発表

メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)は、なりすましメール対策実態調査の最新結果を発表しました。
今回は、日経225企業が管理・運用する8,889ドメインについて2025年5月時点での送信ドメイン認証技術DMARC導入実態調査に加えて、教育機関として大学(国立、公立、私立、短大合わせて1,075校が管理・運用する3,158ドメイン)を対象として調査しました。

日経225企業は、2025年5月時点で208社(92.4%)が少なくとも1つのドメインでDMARCを導入しており、半年前の2024年11月(92.0%)からは0.4ポイントの増加であり、ほぼ横ばいで推移しています。
一方で、DMARC導入済みドメインの内、強制力のあるポリシーであるquarantine(隔離)またはreject(拒否)にポリシー設定されているドメイン数は642ドメイン確認されました。日経225企業で、少なくとも1つのドメインで強制力のあるポリシーを設定した組織は124社(55.1%)で、1年間で6.7ポイントの増加が見られており、大企業での強制力のあるポリシーへの切り替えが進んでいます。

「DMARC集約レポート」を受け取る設定にしているドメインの割合は、90.3%と非常に高く(昨年同月は84.3%)、意図しないメール送信を見つけるために、メールがどのように認証され処理されたかを把握しようとする意識は高いと考えられます。しかしながら、ポリシーがnone(何もしない)の設定では、メール送信状況を可視化するには有効ですが、なりすましメールを制御できず、なりすましメールはメールボックスに届いてしまいます。DMARCを導入していても、none設定によるモニタリング段階のドメインは攻撃者に狙われますので、なりすましのリスクを軽減するためには、強制力のあるポリシー設定にステップアップすることが望まれます。

現時点でいずれのメールドメインにおいても、まだDMARCを導入していない17社(7.6%)の内8社はグループ会社の持株会社で、事業会社と比較するとDMARC導入が遅れている傾向があると言えます。
しかしながら、例えば実際にはメールを送信しないドメインであっても攻撃に利用される可能性もあり、組織ドメインに対してDMARCレコードを設定してポリシーをrejectにすることが望まれます。


大学のDMARC導入率は45.1%で、昨年同月(38.4%)と比較すると1年間で6.7ポイント増加しているものの、Google /米Yahoo!のガイドラインの影響が大きかった昨年の増加(27.1ポイント)には及びませんでした。

TwoFiveは、DMARCおよびBIMIの導入技術支援、DMARCレポート解析サービス、DMARCレポート作成サービスなどを提供していますが、今後も、DMARCおよびBIMI導入を促進する啓発活動や効果的に運用するためのサポートに尽力して参ります。


※調査結果の全体を以下でご覧いただけます。
https://www.twofive25.com/download/#whitepaper

※調査結果のサマリーは以下の通りです。
各図(グラフ)は以下でご覧ください。
https://www.twofive25.com/news/20250521_dmarc_report.html
https://www.twofive25.com/news/press/pdf/20250521_dmarc_report.pdf

● 日経225企業のDMARC導入実態について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
日経225企業は、全225社の内208社(92.4%)が少なくとも一つのドメインでDMARCを導入しており、昨年同月と比較すると1年間で0.8ポイントの増加にとどまっています(図1)。

この208社のうち少なくとも1つのドメインで強制力のあるポリシー(quarantine、reject)に設定しているのは、124社あり、全体の55.1%まで増えています(図2)。DMARC導入割合は2023年11月から2024年5月の半年間で急増しましたが、強制力のあるポリシーについては、今後各社で対応が進むことが期待されます。
一方、ドメイン数でみると、208社が運用するDMARC導入済み3,367ドメインの内、強制力のあるポリシーに設定しているのは、現時点で19.1%であり、none設定によるモニタリング段階が大半で、1年前(26.8%)から全体比率は増えていません(図3)。
しかし、DMARC集約レポートを受け取る設定にしてモニタリングを実施しているドメインの割合は、90.3%と非常に高いことから(昨年同月は84.3%)、意図しないメール送信を見つけるための可視化についての意識は高い状況です(図4)。
 
一方、DMARC失敗レポートのモニタリングを実施しているドメインの割合は、23.8%にとどまっており(図5)、これはDMARC集約レポートと比較して、DMARC失敗レポートの流通量が極端に少ないため、効果的な活用につながっていない実情が伺える結果といえます。

Google /米Yahoo!の送信者向け新ガイドライン(2023年10月発表)が後押しし、2024年5月時点のTwoFiveの観測では、半年前(2023年11月)に68%だった導入企業比率が91.6%に急増しました。導入率90%を超えた後は微増状態が続いていますが、現時点でいずれのメールドメインにおいても、まだDMARCを導入していない日経225企業が17社(7.6%)あります。
これらの内8社はグループ会社の持株会社(ホールディングカンパニー)で、事業会社と比較すると、持株会社のメールドメインはDMARC導入が遅れている傾向があるのではないかと考えられます。
しかしながら、例えば実際にはメールを送信しないドメインであっても攻撃に利用される可能性があり、組織ドメインに対してDMARCレコードを設定してポリシーをrejectにすることが望まれます。これにより、ランダムサブドメイン攻撃を含むなりすましメールの対策になります。


● 大学のDMARC導入実態について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
調査対象は、1,075大学 / 3.158ドメインで、内訳は、国立大学:84校/ 1,432ドメイン、公立大学:100校/ 153ドメイン、私立大学:610校/ 1,157ドメイン、短期大学:281校/ 416ドメインです。結果は、485校、45.1%が少なくとも一つのドメインでDMARCを導入しており、昨年同月(429校、38.4%)からは増加したものの、日経225企業(208社、92.4%)と比較すると非常に低く、なりすましメール対策が進んでいないと考えられます(図6)。

また、DMARC導入済みの1,219ドメインのうち、全体では84.2%がnoneのポリシー設定で、徐々にnone設定の割合が高まっています(昨年同月: 83.2%)。これは、日経225企業における傾向と同様に、Gmailなどのガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示しています。今後は、DMARC導入を進めていくだけではなく、すでにモニタリングしているメールドメインのレポート分析、メール送信環境の適正化および強制力のあるポリシー(quarantine、reject)への切り替えも課題です(図7)。


◆ 今回発表するなりすましメール対策実態調査について 
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇調査時期:2025年5月
◇調査対象:日経225企業が管理・運用する8,889ドメイン
         教育機関が管理運用するドメイン(1,075大学、3,158ドメイン)
◇調査方法:調査対象ドメインおよびサブドメインのDNSレコードを調査
◇主な調査結果:各企業のドメインごとに以下の状況を把握しています。
 ・DMARCを導入しているかどうか
 ・DMARCのポリシー設定状況
  「none(何もしない)」「quarantine(隔離)」「reject(拒否)」

………………………………………………………
※TwoFiveは、DMARC導入などのなりすましメール対策実態について継続的に調査しています。
 過去の調査結果を以下でご覧いただけます。
 2023年5月発表
 https://www.twofive25.com/news/20230518_dmarc_report.html
 2022年11月発表
 https://www.twofive25.com/news/20221110_dmarc_report.html
 2022年5月発表
 https://www.twofive25.com/news/20220519_dmarc_report.html
 2023年11月発表
 https://www.twofive25.com/news/20231106 _dmarc_report.html
 2024年5月発表
 https://www.twofive25.com/news/20240522_dmarc_report.html
 2024年11月発表
 https://www.twofive25.com/news/20241111_dmarc_report.html
………………………………………………………
※DMARCの仕組み、TwoFiveが提供するクラウド型DMARC分析サービス「DMARC / 25 Analyze」の詳細は以下をご参照ください。
https://www.dmarc25.jp/
※BIMIの仕組み、TwoFiveが提供するBIMI 技術サービスの詳細は以下をご参照ください。
https://www.twofive25.com/service/bimi.html
………………………………………………………

__________________________
■株式会社TwoFiveについて
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
https://www.twofive25.com/
株式会社TwoFiveは、大手ISP、ASP、携帯事業者、大手企業の大規模電子メールシステムインフラの構築・サポートで長年経験を蓄積した技術者集団により、メールシステムの構築、メールセキュリティ、スレッドインテリジェンスを事業の柱として2014年に設立。国内外の優れた製品/ソリューションに技術サービスを組み合わせて提供してきました。現在は、所属する業界団体や関連サービスの提供ベンダーと協業し、メールシステムだけでなく、多様なメッセージング分野の新しい課題に取り組んでいます。また、海外ベンダーとの充実したネットワークを活かして、メッセージング分野に限定せず、日本のDXを支える優れた製品・ソリューションを日本市場に紹介しています。東京本社の他、ハノイにベトナム支社があり、開発、サポートを行っています。


━◆ 報道関係者 お問い合わせ ◆━━━━━━
株式会社TwoFive
担当:渋谷
03-5704-9948 info@twofive25.com