TwoFiveとエンバーポイントは5月22日、なりすましメール対策の実態について調査結果を発表した。
TwoFiveは、国内で流通しているメールのDNSレコードから送信ドメイン認証技術DMARC導入実態を調査し、毎年5月と11月に結果を公開したものの最新版で、今回は、日経225企業が管理・運用する5873ドメインと、教育機関として大学(国立、公立、私立、短大合わせて1117校が管理・運用する1万3860ドメイン)を対象として調査。
エンバーポイントによる調査は、メール大量配信システムの市場シェアトップの「Mail Publisher」(開発・提供:エンバーポイント)の実ユーザーについて、DMARC導入などのなりすましメール対策実態をまとめたもの。
日経225企業のDMARC導入・運用の実態
図1. 日経225企業DMARC導入状況(n=225)
図2. 日経225企業 DMARC導入ドメインのポリシー設定状況
日経225企業は、全225社のうち206社(91.6%)が少なくとも一つのドメインでDMARCを導入しており、昨年同月(140社/62.2%)と比較すると1年間で29.4ポイント増加した(図1)。
この206社が運用するDMARC導入済み1861ドメインの内、認証失敗時の取り扱いを指定するDMARCポリシーの設定状況を見ると、強制力のあるquarantine(隔離)またはreject(拒否)にポリシー設定しているのは、現時点で全体の26.8%で、依然としてnone(何もしない)設定が大半だ。
これは、現状のGmailの新ガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示している。(図2)。
今後、Gmail対応に留まらず、なりすましメールを制御するために、強制力のあるポリシーに変更してステップアップしていくことが期待される。
また、DMARC認証を使って、正規の送信者が所有するブランドロゴをメールアプリケーションの受信トレイに表示するBIMI(Brand Indicators for Message Identification)が新しいなりすましメール対策として注目されているが、BIMIを利用するためにはquarantineまたはrejectのポリシー設定が必要となる。
Mail Publisher利用者のDMARC設定とDKIM署名の実態
図3. Mail Publisher利用者のDMARC設定率
図4. Mail Publisher利用者のDKIM作成者署名率
Mail Publisher利用ユーザーのDMARC設定率は、5月時点で、全ドメインの84.3%/全流量数の93.1%。Mail PublisherでのDMARC設定率もTwoFiveによる調査結果と同様に、2023年11月頃から増加傾向を示し、2024年1月時点では、全ドメインの46.3%/全流量数の79.2%となり、4ヵ月間で、それぞれ38.0ポイント/13.9ポイント増加した(図3)。
DMARC認証には、SPFおよび/またはDKIMの認証結果が使用されるが、Mail Publisherは、送信メールに電子署名を付加するDKIMを使用し、作成者署名を設定できる(エンバーポイントが設定する第三者署名も利用可能)。このDKIM作成者署名の設定率を調査したところ、1月時点では、全ドメインの41.1%/全流量数の90.4%となり、4ヵ月間で、それぞれ34.0ポイント/8.3ポイント増加し、全ドメインの75.1%/全流量数の98.3%となった(図4)。
DKIMの作成者署名を利用してDMARC認証を成功させることでメール転送などの認証失敗を回避できることから、DMARC設定と併せてDKIMの作成者署名設定が増加していることは、適切なメール認証が実現しつつある状況といえる。
ワンクリック購読解除の設定状況について
図5. ワンクリック購読解除機能の設定率
Google/(米)Yahoo!のメール送信者向け新ガイドラインでは、メール受信者が配信登録を容易に解除できるようにするために、RFC8058に準拠したList-Unsubscribeヘッダーを実装しなければならない。
Mail Publisherに新たに搭載された「ワンクリック購読解除機能」では、ヘッダーを自動的に付与して、要件に適合した配信が行えるサービスで、1月の提供開始から現在までのおよそ3ヵ月間で、全配信数の77.7%が利用している。
大学のDMARC導入実態について
図6. 大学のDMARC導入状況(n=1117)
図7. 大学のDMARCポリシー設定状況(n=2890)
調査対象は1117大学/1万3860ドメインで、内訳は、国立大学:86校/7115ドメイン、公立大学:101校/643ドメイン、私立大学:628校/4647ドメイン、短期大学:302校/1455ドメイン。結果は、全体のDMARC導入率は、昨年同月(1114大学4060ドメイン/9.4%)からは増加したものの、38.4%と非常に低く、なりすましメール対策が進んでいないと考えられるという(図5)。
また、DMARC導入済みの2890ドメインのうち、全体では83.2%がnoneのポリシー設定で、強制力のあるポリシー(quarantine、reject)への切り替えも今後の課題となる(図6)。
■今回発表のなりすましメール対策実態調査について
調査時期:5月
調査対象:日経225企業が管理・運用する5873ドメイン
教育機関が管理運用するドメイン(1117大学、1万3860ドメイン)
Mail Publisher利用者のドメイン
調査⽅法:調査対象ドメインおよびサブドメインのDNSレコードを調査
主な調査結果:各企業のドメインごとに以下の状況を把握している
・DMARCを導入しているかどうか
・DMARCのポリシー設定状況
「none(何もしないで受け取る)」「quarantine(隔離)」「reject(拒否)」
本調査結果のリリース全文はこちら。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
