100%は遠い？ なりすましメール対策、日経225のDMARC導入率はほぼ横ばいの92.4%【TwoFive調べ】

TwoFiveは、「なりすましメール対策」に関する調査結果を発表した。日経225企業が管理・運用する8,889ドメイン、大学（国立・公立・私立・短大合わせて1,075校）が管理・運用する3,158ドメインが対象。DMARCを導入しているかどうか、DMARCのポリシー設定状況が「none（何もしない）」「quarantine（隔離）」「reject（拒否）」のどれかを調査した。

大学ドメインのDMARC導入率は45.1%

まず日経225企業のDMARC導入状況については、208社（92.4%）が少なくとも1つのドメインでDMARCを導入していた。Google/米Yahoo!の送信者向け新ガイドライン（2023年10月発表）が後押しし、2024年5月時点で91.6%だったが、以降はほぼ横ばいで推移している

なお、DMARCを導入していない日経225企業17社（7.6%）のうち8社は、グループ会社の持株会社（ホールディングカンパニー）だった。

導入済みドメインでは、強制力のあるポリシーである「quarantine（隔離）」または「reject（拒否）」に設定されていたのは642ドメインだった。少なくとも1つのドメインで強制力のあるポリシーを設定した組織は124社（55.1%）でやや増加している。

レポートのモニタリング状況を見ると、「DMARC集約レポート」を受け取る設定にしているドメインの割合は、90.3%と大多数だった。一方、「DMARC失敗レポート」のモニタリングを実施していたドメインは、23.8%にとどまっており、効果的に活用されていないことがうかがえる。

なお大学のDMARC導入実態については、485校（45.1%）が少なくとも1つのドメインでDMARCを導入しており、2024年調査（429校、38.4%）からは増加したものの非常に低く、なりすましメール対策が進んでいないことが伺えた。また、DMARC導入済みの1,219ドメインのうち、全体では84.2%がnoneのポリシー設定で、じょじょにnone設定の割合が高まっている。

調査概要

• 【調査対象】日経225企業が管理・運用する8,889ドメイン、大学（国立・公立・私立・短大合わせて1,075校）が管理・運用する3,158ドメイン
• 【調査方法】調査対象ドメインおよびサブドメインのDNSレコードを調査
• 【調査時期】2025年5月