フィッシング対策協、送信ドメイン認証「DMARC」の導入状況と必要性に関する資料を公開

フィッシング対策協議会は、「送信ドメイン認証技術『DMARC』の導入状況と必要性について」を公開した。日本プルーフポイントとTwoFiveの2社によるDMARC導入率調査の結果を整理するとともに、DMARC導入後の適切な設定について解説した内容となっている。

日本でも導入が進むがポリシーレベルに問題あり

フィッシング対策協議会によると、2023年のフィッシング報告件数は過去最高の100万件を更新。月次の報告件数においては、2024年10月に18万件に達しこれも過去最高値を更新している。こうしたフィッシング目的の「なりすまし」送信メールを排除するため、正規サービスから送信されたメールであることを認証できる送信ドメイン認証技術「DMARC」の導入が進んでいる。

日本プルーフポイントは、日経225企業および米フォーチュン1000（Fortune 1000）企業を対象とした、DMARC導入状況の調査結果を公表（2024年9月）。それによると、日経225企業では83%が、Fortune 1000企業では96%がDMARCを導入していた。

一方ポリシーレベルについては、日本企業は「監視のみ（none）」63%、「隔離（quarantine）」13%、「拒否（reject）」7%と、監視のみが主流。米国企業は「監視のみ」32%、「隔離」18%、「拒否」46%でDMARCが厳格に運用されている様子がうかがえる。

またTwoFiveは、「国内DMARC統計とその傾向2024年7月版」を公開。同レポートによると、2024年6月時点での金融機関（銀行、証券、保険、その他金融）全体でのDMARC導入率は79.5%だった。

同資料では、迷惑メール対策推進協議会 技術ワーキンググループによる「送信ドメイン認証技術DMARC導入ガイドライン」を参考文献として、「段階的に『隔離』『拒否』とポリシー強度を上げていく」「メール送信側としてDMARCを導入する場合、SPFとDKIMの両方を導入したほうがよい」「DMARCのポリシー設定は、p=noneから始めて認証結果を確認することでp=quarantine、p=rejectと強度を上げていくほうがよい」といった提案を紹介している。