TwoFiveとエンバーポイントは5月22日、なりすましメール対策の実態について調査結果を発表した。
TwoFiveは、国内で流通しているメールのDNSレコードから送信ドメイン認証技術DMARC導入実態を調査し、毎年5月と11月に結果を公開したものの最新版で、今回は、日経225企業が管理・運用する5873ドメインと、教育機関として大学(国立、公立、私立、短大合わせて1117校が管理・運用する1万3860ドメイン)を対象として調査。
エンバーポイントによる調査は、メール大量配信システムの市場シェアトップの「Mail Publisher」(開発・提供:エンバーポイント)の実ユーザーについて、DMARC導入などのなりすましメール対策実態をまとめたもの。
日経225企業のDMARC導入・運用の実態
日経225企業は、全225社のうち206社(91.6%)が少なくとも一つのドメインでDMARCを導入しており、昨年同月(140社/62.2%)と比較すると1年間で29.4ポイント増加した(図1)。
この206社が運用するDMARC導入済み1861ドメインの内、認証失敗時の取り扱いを指定するDMARCポリシーの設定状況を見ると、強制力のあるquarantine(隔離)またはreject(拒否)にポリシー設定しているのは、現時点で全体の26.8%で、依然としてnone(何もしない)設定が大半だ。
これは、現状のGmailの新ガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示している。(図2)。
今後、Gmail対応に留まらず、なりすましメールを制御するために、強制力のあるポリシーに変更してステップアップしていくことが期待される。
また、DMARC認証を使って、正規の送信者が所有するブランドロゴをメールアプリケーションの受信トレイに表示するBIMI(Brand Indicators for Message Identification)が新しいなりすましメール対策として注目されているが、BIMIを利用するためにはquarantineまたはrejectのポリシー設定が必要となる。
Mail Publisher利用者のDMARC設定とDKIM署名の実態
Mail Publisher利用ユーザーのDMARC設定率は、5月時点で、全ドメインの84.3%/全流量数の93.1%。Mail PublisherでのDMARC設定率もTwoFiveによる調査結果と同様に、2023年11月頃から増加傾向を示し、2024年1月時点では、全ドメインの46.3%/全流量数の79.2%となり、4ヵ月間で、それぞれ38.0ポイント/13.9ポイント増加した(図3)。
DMARC認証には、SPFおよび/またはDKIMの認証結果が使用されるが、Mail Publisherは、送信メールに電子署名を付加するDKIMを使用し、作成者署名を設定できる(エンバーポイントが設定する第三者署名も利用可能)。このDKIM作成者署名の設定率を調査したところ、1月時点では、全ドメインの41.1%/全流量数の90.4%となり、4ヵ月間で、それぞれ34.0ポイント/8.3ポイント増加し、全ドメインの75.1%/全流量数の98.3%となった(図4)。
DKIMの作成者署名を利用してDMARC認証を成功させることでメール転送などの認証失敗を回避できることから、DMARC設定と併せてDKIMの作成者署名設定が増加していることは、適切なメール認証が実現しつつある状況といえる。
ワンクリック購読解除の設定状況について
Google/(米)Yahoo!のメール送信者向け新ガイドラインでは、メール受信者が配信登録を容易に解除できるようにするために、RFC8058に準拠したList-Unsubscribeヘッダーを実装しなければならない。
Mail Publisherに新たに搭載された「ワンクリック購読解除機能」では、ヘッダーを自動的に付与して、要件に適合した配信が行えるサービスで、1月の提供開始から現在までのおよそ3ヵ月間で、全配信数の77.7%が利用している。
大学のDMARC導入実態について
調査対象は1117大学/1万3860ドメインで、内訳は、国立大学:86校/7115ドメイン、公立大学:101校/643ドメイン、私立大学:628校/4647ドメイン、短期大学:302校/1455ドメイン。結果は、全体のDMARC導入率は、昨年同月(1114大学4060ドメイン/9.4%)からは増加したものの、38.4%と非常に低く、なりすましメール対策が進んでいないと考えられるという(図5)。
また、DMARC導入済みの2890ドメインのうち、全体では83.2%がnoneのポリシー設定で、強制力のあるポリシー(quarantine、reject)への切り替えも今後の課題となる(図6)。
■今回発表のなりすましメール対策実態調査について
調査時期:5月
調査対象:日経225企業が管理・運用する5873ドメイン
教育機関が管理運用するドメイン(1117大学、1万3860ドメイン)
Mail Publisher利用者のドメイン
調査⽅法:調査対象ドメインおよびサブドメインのDNSレコードを調査
主な調査結果:各企業のドメインごとに以下の状況を把握している
・DMARCを導入しているかどうか
・DMARCのポリシー設定状況
「none(何もしないで受け取る)」「quarantine(隔離)」「reject(拒否)」
本調査結果のリリース全文はこちら。