このページの本文へ

TwoFiveとエンバーポイントによる実態調査結果

日経225のDMARC導入は9割超え、大学ドメインは38.4%にとどまる

2024年05月22日 13時45分更新

文● ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

 TwoFiveとエンバーポイントは5月22日、なりすましメール対策の実態について調査結果を発表した。

 TwoFiveは、国内で流通しているメールのDNSレコードから送信ドメイン認証技術DMARC導入実態を調査し、毎年5月と11月に結果を公開したものの最新版で、今回は、日経225企業が管理・運用する5873ドメインと、教育機関として大学(国立、公立、私立、短大合わせて1117校が管理・運用する1万3860ドメイン)を対象として調査。

 エンバーポイントによる調査は、メール大量配信システムの市場シェアトップの「Mail Publisher」(開発・提供:エンバーポイント)の実ユーザーについて、DMARC導入などのなりすましメール対策実態をまとめたもの。

日経225企業のDMARC導入・運用の実態

なりすましメール対策

図1. 日経225企業DMARC導入状況(n=225)

なりすましメール対策

図2. 日経225企業 DMARC導入ドメインのポリシー設定状況

 日経225企業は、全225社のうち206社(91.6%)が少なくとも一つのドメインでDMARCを導入しており、昨年同月(140社/62.2%)と比較すると1年間で29.4ポイント増加した(図1)。

 この206社が運用するDMARC導入済み1861ドメインの内、認証失敗時の取り扱いを指定するDMARCポリシーの設定状況を見ると、強制力のあるquarantine(隔離)またはreject(拒否)にポリシー設定しているのは、現時点で全体の26.8%で、依然としてnone(何もしない)設定が大半だ。

 これは、現状のGmailの新ガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示している。(図2)。

 今後、Gmail対応に留まらず、なりすましメールを制御するために、強制力のあるポリシーに変更してステップアップしていくことが期待される。

 また、DMARC認証を使って、正規の送信者が所有するブランドロゴをメールアプリケーションの受信トレイに表示するBIMI(Brand Indicators for Message Identification)が新しいなりすましメール対策として注目されているが、BIMIを利用するためにはquarantineまたはrejectのポリシー設定が必要となる。

Mail Publisher利用者のDMARC設定とDKIM署名の実態

なりすましメール対策

図3. Mail Publisher利用者のDMARC設定率

なりすましメール対策

図4. Mail Publisher利用者のDKIM作成者署名率

 Mail Publisher利用ユーザーのDMARC設定率は、5月時点で、全ドメインの84.3%/全流量数の93.1%。Mail PublisherでのDMARC設定率もTwoFiveによる調査結果と同様に、2023年11月頃から増加傾向を示し、2024年1月時点では、全ドメインの46.3%/全流量数の79.2%となり、4ヵ月間で、それぞれ38.0ポイント/13.9ポイント増加した(図3)。

 DMARC認証には、SPFおよび/またはDKIMの認証結果が使用されるが、Mail Publisherは、送信メールに電子署名を付加するDKIMを使用し、作成者署名を設定できる(エンバーポイントが設定する第三者署名も利用可能)。このDKIM作成者署名の設定率を調査したところ、1月時点では、全ドメインの41.1%/全流量数の90.4%となり、4ヵ月間で、それぞれ34.0ポイント/8.3ポイント増加し、全ドメインの75.1%/全流量数の98.3%となった(図4)。

 DKIMの作成者署名を利用してDMARC認証を成功させることでメール転送などの認証失敗を回避できることから、DMARC設定と併せてDKIMの作成者署名設定が増加していることは、適切なメール認証が実現しつつある状況といえる。

ワンクリック購読解除の設定状況について

なりすましメール対策

図5. ワンクリック購読解除機能の設定率

 Google/(米)Yahoo!のメール送信者向け新ガイドラインでは、メール受信者が配信登録を容易に解除できるようにするために、RFC8058に準拠したList-Unsubscribeヘッダーを実装しなければならない。

 Mail Publisherに新たに搭載された「ワンクリック購読解除機能」では、ヘッダーを自動的に付与して、要件に適合した配信が行えるサービスで、1月の提供開始から現在までのおよそ3ヵ月間で、全配信数の77.7%が利用している。

大学のDMARC導入実態について

なりすましメール対策

図6. 大学のDMARC導入状況(n=1117)

なりすましメール対策

図7. 大学のDMARCポリシー設定状況(n=2890)

 調査対象は1117大学/1万3860ドメインで、内訳は、国立大学:86校/7115ドメイン、公立大学:101校/643ドメイン、私立大学:628校/4647ドメイン、短期大学:302校/1455ドメイン。結果は、全体のDMARC導入率は、昨年同月(1114大学4060ドメイン/9.4%)からは増加したものの、38.4%と非常に低く、なりすましメール対策が進んでいないと考えられるという(図5)。

 また、DMARC導入済みの2890ドメインのうち、全体では83.2%がnoneのポリシー設定で、強制力のあるポリシー(quarantine、reject)への切り替えも今後の課題となる(図6)。

■今回発表のなりすましメール対策実態調査について
調査時期:5月
調査対象:日経225企業が管理・運用する5873ドメイン
     教育機関が管理運用するドメイン(1117大学、1万3860ドメイン)
     Mail Publisher利用者のドメイン
調査⽅法:調査対象ドメインおよびサブドメインのDNSレコードを調査
主な調査結果:各企業のドメインごとに以下の状況を把握している
       ・DMARCを導入しているかどうか
       ・DMARCのポリシー設定状況
        「none(何もしないで受け取る)」「quarantine(隔離)」「reject(拒否)」

 本調査結果のリリース全文はこちら

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード