日経225のDMARC導入は9割超え、大学ドメインは38.4%にとどまる

TwoFiveとエンバーポイントは5月22日、なりすましメール対策の実態について調査結果を発表した。

　TwoFiveとエンバーポイントは5月22日、なりすましメール対策の実態について調査結果を発表した。

　TwoFiveは、国内で流通しているメールのDNSレコードから送信ドメイン認証技術DMARC導入実態を調査し、毎年5月と11月に結果を公開したものの最新版で、今回は、日経225企業が管理・運用する5873ドメインと、教育機関として大学（国立、公立、私立、短大合わせて1117校が管理・運用する1万3860ドメイン）を対象として調査。

　エンバーポイントによる調査は、メール大量配信システムの市場シェアトップの「Mail Publisher」（開発・提供：エンバーポイント）の実ユーザーについて、DMARC導入などのなりすましメール対策実態をまとめたもの。

日経225企業のDMARC導入・運用の実態

　日経225企業は、全225社のうち206社（91.6％）が少なくとも一つのドメインでDMARCを導入しており、昨年同月（140社／62.2％）と比較すると1年間で29.4ポイント増加した（図1）。

　この206社が運用するDMARC導入済み1861ドメインの内、認証失敗時の取り扱いを指定するDMARCポリシーの設定状況を見ると、強制力のあるquarantine（隔離）またはreject（拒否）にポリシー設定しているのは、現時点で全体の26.8％で、依然としてnone（何もしない）設定が大半だ。

　これは、現状のGmailの新ガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示している。（図2）。

　今後、Gmail対応に留まらず、なりすましメールを制御するために、強制力のあるポリシーに変更してステップアップしていくことが期待される。

　また、DMARC認証を使って、正規の送信者が所有するブランドロゴをメールアプリケーションの受信トレイに表示するBIMI（Brand Indicators for Message Identification）が新しいなりすましメール対策として注目されているが、BIMIを利用するためにはquarantineまたはrejectのポリシー設定が必要となる。

Mail Publisher利用者のDMARC設定とDKIM署名の実態

　Mail Publisher利用ユーザーのDMARC設定率は、5月時点で、全ドメインの84.3％／全流量数の93.1％。Mail PublisherでのDMARC設定率もTwoFiveによる調査結果と同様に、2023年11月頃から増加傾向を示し、2024年1月時点では、全ドメインの46.3％／全流量数の79.2％となり、4ヵ月間で、それぞれ38.0ポイント／13.9ポイント増加した（図3）。

　DMARC認証には、SPFおよび／またはDKIMの認証結果が使用されるが、Mail Publisherは、送信メールに電子署名を付加するDKIMを使用し、作成者署名を設定できる（エンバーポイントが設定する第三者署名も利用可能）。このDKIM作成者署名の設定率を調査したところ、1月時点では、全ドメインの41.1％／全流量数の90.4％となり、4ヵ月間で、それぞれ34.0ポイント／8.3ポイント増加し、全ドメインの75.1％／全流量数の98.3％となった（図4）。

　DKIMの作成者署名を利用してDMARC認証を成功させることでメール転送などの認証失敗を回避できることから、DMARC設定と併せてDKIMの作成者署名設定が増加していることは、適切なメール認証が実現しつつある状況といえる。

ワンクリック購読解除の設定状況について

　Google／（米）Yahoo!のメール送信者向け新ガイドラインでは、メール受信者が配信登録を容易に解除できるようにするために、RFC8058に準拠したList-Unsubscribeヘッダーを実装しなければならない。

　Mail Publisherに新たに搭載された「ワンクリック購読解除機能」では、ヘッダーを自動的に付与して、要件に適合した配信が行えるサービスで、1月の提供開始から現在までのおよそ3ヵ月間で、全配信数の77.7％が利用している。

大学のDMARC導入実態について

　調査対象は1117大学／1万3860ドメインで、内訳は、国立大学：86校／7115ドメイン、公立大学：101校／643ドメイン、私立大学：628校／4647ドメイン、短期大学：302校／1455ドメイン。結果は、全体のDMARC導入率は、昨年同月（1114大学4060ドメイン／9.4％）からは増加したものの、38.4%と非常に低く、なりすましメール対策が進んでいないと考えられるという（図5）。

　また、DMARC導入済みの2890ドメインのうち、全体では83.2%がnoneのポリシー設定で、強制力のあるポリシー（quarantine、reject）への切り替えも今後の課題となる（図6）。

■今回発表のなりすましメール対策実態調査について

調査時期：5月

調査対象：日経225企業が管理・運用する5873ドメイン

　　　　　教育機関が管理運用するドメイン（1117大学、1万3860ドメイン）

　　　　　Mail Publisher利用者のドメイン

調査⽅法：調査対象ドメインおよびサブドメインのDNSレコードを調査

主な調査結果：各企業のドメインごとに以下の状況を把握している

　　　　　　　・DMARCを導入しているかどうか

　　　　　　　・DMARCのポリシー設定状況

　　　　　　　　「none（何もしないで受け取る）」「quarantine（隔離）」「reject（拒否）」

　本調査結果のリリース全文はこちら。

文● ASCII