なりすましメール対策「DMARC」、日経225企業のうち導入済みは62.2%。大学は大幅に下回る【TwoFive調べ】
TwoFiveは、「なりすましメール対策」に関する調査結果を発表した。日経225企業が管理・運用する5,261ドメイン、教育機関として大学(国立、公立、私立、短大合わせて1,114校)が管理・運用する4,060ドメインについて、「DMARC(Domain-based Message Authentication Reporting and Conformance)」の導入実態を調査している。
DMARCは、なりすましメールやフィッシング攻撃の対策を目的とした、送信元ドメインを認証するための技術。社員による想定しないメール送信、意図しない経路でのメール送信などを確認できる。
DMARCの導入・BIMIへの対応など、意識の高まり目立つ
まず日経225企業のうち、DMARCを導入しているのは140社(62.2%)。前年同月の49.8%から12.4%増と、1年間で対策意識が高まったことがうかがえる。大学のDMARC導入率は全体平均では9.4%にとどまった。ただし国立大学に限ると、25.6%とかなり上昇する。
140社が運用しているDMARC導入済みのドメイン数は971ドメイン。そのうち「強制力のあるポリシー(quarantine、reject)」が設定されていたのは31.7%で、前年より低下。引き続きほとんどが「none」設定によるモニタリング段階だった。DMARCを導入している大学のドメインでは、「強制力のあるポリシー」が設定されていたのは13.4%とさらに低い。
さらにbimigroup.orgによって策定された最新技術規格「BIMI(Brand Indicators for Message Identification)」の状況も調査。BIMIは、DMARCやVMC(認証マーク証明書)を利用することで、メール送信者の情報として認証済みのロゴを表示させる機能だ。Google、Appleなどが提供する主要メールサービスがBIMIに対応しているほか、2023年4月時点でTwoFiveは3,724ドメインでのBIMI対応を確認している。
そのうち、VMCを設定していたのは865ドメイン(設定率:23.2%)だった。BIMIに対応している主要メールサービスがVMCを必須条件としていることから、今後この設定率は高まるものと予測される。一方でVMCを設定している865ドメイン中252ドメイン(29.1%)には、何らかの設定不備が確認されたとのこと。ドメイン名不一致、有効期限切れ、画像の不一致があったという。
調査概要
- 【調査方法】調査対象ドメインおよびサブドメインのDNSレコードを調査
- 【調査時期】2023年1月~5月
- 【調査対象・数】
- 日経225企業が管理・運用する5,261ドメイン
- 大学教育機関1,114が管理運用する4,060ドメイン
- TwoFiveが利用・流通を確認したBIMI対応メールドメイン3,724ドメイン
ソーシャルもやってます!