日経225企業の「なりすまし詐欺」対策は加速も米国水準に届かず--プルーフポイント調査

　日本プルーフポイントは、日本企業と米国企業、日米政府におけるメール認証の調査結果を基にメールの安全性に関して分析を行った結果を発表した。

　これによると、日経平均銘柄となる「日経225」企業の「DMARC（Domain-based Message Authentication, Reporting and Conformance）」の導入率は83％で、2023年12月の60％から大幅に増加した。しかし、これは米国企業の96％には及ばない結果となった。さらに、DMARCを導入済みの企業の中でも、詐欺メールを積極的に排除できる「Reject」または「Quarantine」ポリシーを設定しているのは、導入企業全体の20%にとどまっている。これは米国企業の64％に比べ、対策の徹底度合いにおいて大きな隔たりがあることを示しているという。

　この調査は8月に実施された。調査対象は日経225企業および米国のFortune1000企業、日米の政府機関としている。

　DMARCは、メールの送信元ドメインのなりすましを防ぐための認証技術。なりすましメールの可視化、処理方法の指定、受信トレイへの到達前のブロックなどが可能になる。これにより、企業はセキュリティを強化し、顧客からの信頼を高めることができる。DMARCポリシーには3つのレベルがあり、ポリシーが厳しい順に「Reject（拒否）」「Quarantine（隔離）」「None（監視のみ）」となっている。このうち「Reject」「Quarantine」を導入することで、従業員や取引先企業および顧客の受信箱にメールが届く前に、自組織になりすました詐欺メールを積極的に抑止できる。

　業種別の状況を見ると、日本では最も厳しいレベルの「Reject」ポリシーを採用しているのが「金融業、保険業」「卸売業、小売業」「製造業」の3業種の一部企業のみだった。一方で、米国は全業種で「Reject」ポリシーを導入している企業が存在する。また、2番目に効果的な「Quarantine」ポリシーに関しても、日本では「情報通信業」「製造業」「卸売業、小売業」「金融業、保険業」「運輸業、郵便業」の5業種の一部企業しか導入していなかった。

　日本政府機関の状況は、DMARC導入率こそ100％だが、そのほとんどが、実質的な効果が薄い最低レベルの「None」ポリシーだった。これは、米国政府機関の94％が最高レベルの「Reject」ポリシーを採用しているのとは対照的としている。

　日本プルーフポイントは、DMARC導入が自組織を守るだけでなく、取引先や顧客など、サプライチェーン全体を守るためにも不可欠だとし、一刻も早く「Reject」ポリシーへの移行を進め、セキュリティ対策を強化する必要があると強調する。