なりすましメール対策「DMARC」、日経225企業のうち導入済みは62.2%。大学は大幅に下回る【TwoFive調べ】

TwoFiveは、「なりすましメール対策」に関する調査結果を発表した。日経225企業が管理・運用する5,261ドメイン、教育機関として大学（国立、公立、私立、短大合わせて1,114校）が管理・運用する4,060ドメインについて、「DMARC（Domain-based Message Authentication Reporting and Conformance）」の導入実態を調査している。

DMARCは、なりすましメールやフィッシング攻撃の対策を目的とした、送信元ドメインを認証するための技術。社員による想定しないメール送信、意図しない経路でのメール送信などを確認できる。

DMARCの導入・BIMIへの対応など、意識の高まり目立つ

まず日経225企業のうち、DMARCを導入しているのは140社（62.2%）。前年同月の49.8%から12.4%増と、1年間で対策意識が高まったことがうかがえる。大学のDMARC導入率は全体平均では9.4%にとどまった。ただし国立大学に限ると、25.6%とかなり上昇する。

140社が運用しているDMARC導入済みのドメイン数は971ドメイン。そのうち「強制力のあるポリシー（quarantine、reject）」が設定されていたのは31.7%で、前年より低下。引き続きほとんどが「none」設定によるモニタリング段階だった。DMARCを導入している大学のドメインでは、「強制力のあるポリシー」が設定されていたのは13.4%とさらに低い。

さらにbimigroup.orgによって策定された最新技術規格「BIMI（Brand Indicators for Message Identification）」の状況も調査。BIMIは、DMARCやVMC（認証マーク証明書）を利用することで、メール送信者の情報として認証済みのロゴを表示させる機能だ。Google、Appleなどが提供する主要メールサービスがBIMIに対応しているほか、2023年4月時点でTwoFiveは3,724ドメインでのBIMI対応を確認している。

そのうち、VMCを設定していたのは865ドメイン（設定率：23.2%）だった。BIMIに対応している主要メールサービスがVMCを必須条件としていることから、今後この設定率は高まるものと予測される。一方でVMCを設定している865ドメイン中252ドメイン（29.1%）には、何らかの設定不備が確認されたとのこと。ドメイン名不一致、有効期限切れ、画像の不一致があったという。

調査概要

• 【調査方法】調査対象ドメインおよびサブドメインのDNSレコードを調査
• 【調査時期】2023年1月～5月
• 【調査対象・数】
  • 日経225企業が管理・運用する5,261ドメイン
  • 大学教育機関1,114が管理運用する4,060ドメイン
  • TwoFiveが利用・流通を確認したBIMI対応メールドメイン3,724ドメイン