GMOブランドセキュリティ調査、【主要ブランドにおけるメールセキュリティの実態】

GMOインターネットグループ
2026年04月07日

GMOインターネットグループ
国内Top50ブランド、なりすましメールを遮断できる「SPF/DMARC」有効設定はわずか4.8%

　GMOインターネットグループのGMOブランドセキュリティ株式会社（代表取締役社長：中川光昭、以下「GMOブランドセキュリティ」）は、Interbrand Best Global Brands 2025およびBest Japan Brands 2025に選出されたグローバルTop50ブランドおよび国内Top50ブランドが保有する計7,600ドメインを対象に、なりすましメール対策技術である『SPF（※1）』および『DMARC（※2）』の導入状況に関する調査を実施いたしました。
　調査の結果、SPFとDMARCの両方を有効な設定にした「適切」な状態の割合（以下、適切率）は、グローバルTop50ブランドが23.1%となっている一方で、国内Top50ブランドが保有するドメインのわずか4.8%にとどまり、約4.8倍の格差が存在することが判明しました。「適切」な状態にないドメインはSPF /DMARCの未設定または不備という脆弱な状態にあり、ブランド名を騙ったなりすましメールを容易に送信可能な「高リスク」状態にあることが明らかになりました。

（※1）SPF（エスピーエフ）
送信元サーバーのIPアドレスをあらかじめ公開し、正しい場所から送られたメールかを判定する技術。導入が比較的容易な反面、メールが転送されると認証に失敗しやすいという弱点があります。
（※2）DMARC（ディーマーク）
SPF・DKIMの認証失敗時に「メールを遮断するか」等の処理を送信者が指示する仕組み。none（監視のみ）、quarantine（隔離）、reject（拒否）の3段階があり、なりすまし防止の要となります。
【調査結果のサマリー】
１．国内の適切率は4.8%。グローバルとの格差は約4.8倍
　グローバルTop50ブランドの適切率が23.1%（アクティブドメイン限定では37.9%）であるのに対し、国内Top50ブランドはわずか4.8%（アクティブドメイン限定でも13.1%）にとどまります。自国に割り当てられた国別トップレベルドメインccTLD（country-code top-level domain）である「.jp（日本）」においても、国内Top50ブランドの適切率14.0%に対しグローバルTop50ブランドは30.0%と、倍以上の差が開いています。

2. 全調査ドメインで適切率ゼロのブランドの約88.8%を日本企業が占める
　調査対象の計100社のうち、保有するドメインにSPF/DMARCの設定が一切なされていない適切率ゼロのブランドは、グローバルブランド3社、国内ブランド6社です。しかしこのグローバルブランド3社のうち2社が日本企業となっており、日本を代表する大企業であっても、グローバル展開時のセキュリティ管理体制が不十分であることを示しています。情報通信・自動車・電機・医療機器・食品など、日本を代表する大企業を含む8社が日本企業で、国内対策の遅れを示唆しています。

3. 休眠ドメインが最大の盲点。国内2,518件が完全無防備
　Aレコード（※3）のない非アクティブ（休眠）ドメインの適切率は国内でわずか1.3%。2,518件が完全に無防備な状態で放置されており、攻撃者になりすましの踏み台として悪用されるリスクが極めて高い状況です。
（※3）Aレコード（エーレコード）
ドメイン名を数値で表されたIPアドレスに変換し、通信の宛先を指定する設定。WEBサイトの表示やメール送受信の際に、どのサーバーへ接続すべきかを指し示すインターネット上の「住所録」のような役割を果たします。全てのドメイン運用の基本であり、SPFなどの認証技術が正しく機能するための土台としても不可欠な要素です。

4. グローバル最高水準はアクティブドメイン適切率96.4%を達成した企業も
　グローバルでは、SPF -all（全拒否）とDMARC p=reject（完全拒否）を保有ドメインに徹底する「ゼロトレランス管理」を実践し、アクティブドメインにおいて適切率96.4%を達成しているブランドが存在しています。これにより、自社ブランドを騙ったなりすましメールをほぼ完全に遮断し、顧客や取引先を保護しています。

5. 欧州TLDが上位を独占
　TLD別（アクティブ）では欧州ccTLDが上位を占めています。これは、EUの厳格なサイバーセキュリティ規制が企業の対策を促進している結果です。
【考察と提言】
　今回の調査で、日本の主要ブランドにおけるなりすましメール対策の深刻な遅れが数字として明確になりました。グローバルTop50ブランドの適切率23.1%に対し、国内Top50ブランドはわずか4.8%にとどまっており、約4.8倍という大きな格差が生じているのが現状です。
　この格差の背景として、欧州では規制の法的強制力が対策水準の向上を促している一方、日本では類似する法的要件が整備されていないこともあり、企業の自主的な取り組みへの依存度が高い状態が続いていることが考えられます。
　しかし、ブランド名を騙ったフィッシング被害は消費者・取引先に直接的な金銭面・情報面での損害を与えるだけでなく、長年築き上げたブランドへの信頼を根底から覆しかねない経営上の重大リスクです。もはやメールセキュリティはIT部門の課題に留まらず、ブランドを守るための「経営責任」であると捉え直す必要があります。

　GMOブランドセキュリティは、ブランド価値と信頼を守るため、以下の対策を提言します。
1.SPF/DMARCの「拒否設定」の早期徹底：現在Aレコードを設定しているアクティブドメインだけで　　　　なく、非メールドメインや休眠ドメインを含め、早急に「SPF: v=spf1 -all（拒否設定）」および「DMARC: p=reject（拒否）または p=quarantine（隔離）」を設定することを推奨します。特に休眠ドメインは管理の目が行き届きにくく、サイバー攻撃の踏み台として悪用されるケースが多いため、例外なく対応が必要です。

2.DMARCレポートによる継続的な監視：DMARCは設定して終わりではなく、DMARCレポートを確実に受信できる体制を整え、第三者による不正なドメイン利用がないかを継続的に監視・分析することが重要です。

3.BIMIおよびVMC導入による信頼性の可視化：DMARCの適切な運用に加え、受信者の受信トレイに企業ロゴを表示させる規格「企業ロゴ付きメール（BIMI）」の導入と、ロゴの正当性を証明する「企業ロゴ所有証明書（VMC）」の取得を推奨します。これにより、メールの視認性と開封率を向上させるだけでなく、なりすましメールとの差別化を明確にし、ブランドの信頼性を視覚的に伝えることが可能です。

【調査概要】
- 調査期間：2026年3月10日（火）
- 調査主体：GMOブランドセキュリティ株式会社
- データソース：Interbrand Best Global Brands 2025 / Best Japan Brands 2025
- 調査対象：グローバルTop50ブランドおよび国内Top50ブランドが保有する計7,600ドメイン
- 調査対象TLD数：76種（レガシーgTLD 7種、新gTLD 22種、主要ccTLD 16種、東南アジアccTLD 9種、中東ccTLD 11種、汎用化ccTLD 11種）
- 調査方法：パブリックDNS（Google: 8.8.8.8 / Cloudflare: 1.1.1.1）を使用し、DNS公開情報を調査・集計
- 判定基準：全体適切である状態の基準は、SPF: v=spf1 -all（拒否設定）、DMARC: p=reject（拒否）または p=quarantine（隔離）とした。

【調査の背景】
　取引先や経営層を装ったビジネスメール詐欺や、個人情報やクレジットカード情報等を狙ったフィッシング詐欺が急増する昨今、企業・ブランドのドメインや信頼性を悪用したなりすましメールは、取引先・生活者に対する深刻な被害を引き起こしています。その対策として国際的に重視されているのが、送信ドメイン認証技術「SPF」と「DMARC」の組み合わせです。
　SPFは送信元IPアドレスを事前に登録し不正な送信元を検出する仕組みですが、DMARC（p= reject/ quarantine）と組み合わせることで初めて「実際になりすましメールを遮断する」実効性を持ちます。SPFだけでは「不正を検出」できても「遮断」はできないため、DMARCとの併用が不可欠です。特に、メールを送受信していない「非メールドメイン」や「休眠ドメイン」であっても、SPF/DMARCが設定されていなければ、第三者がそのドメインを詐称してメールを送信することが技術的に可能です。
　本調査では、グローバルおよび国内の主要ブランドが保有するドメインにおける設定実態を可視化し、なりすましメール対策の現状と課題を明らかにしました。

【調査結果の詳細】
1. グローバル vs 国内主要指標比較

2. 国内ブランドの対策状況
　国内Top50ブランドの中では、アパレル・EC・製造・保険・精密機器などのブランドを中心に対策が進んでいます。一方で、自動車・電機・通信・金融など知名度の高い大企業を含む6社（国内50社の12%）が全調査ドメインで適切率ゼロという結果でした。

３. グローバルブランドの対策状況
　グローバルTop50ブランドの中では、ECプラットフォームや検索・動画など主要デジタルサービスを展開するブランドを中心に対策が進んでいます。
　アクティブドメインにおいて高い適切率を達成しているのは、Amazonの96.4%、Googleの89.7%です。SPF -all（全拒否）とDMARC p=reject（完全拒否）を全ドメインに徹底する「ゼロトレランス管理」がグローバルの目標水準となっている一方、著名なグローバルブランドでも依然として6～7割のドメインが未対策のケースがあり、対策の徹底は業種や地域を問わず課題として残っています。

４．欧州規制（GDPR（※4）・NIS2指令（※5））がグローバルブランドの対策水準を牽引
　TLD別適切率では.fr（56.0%）、.es（44.0%）、.de（44.0%）、.it（44.0%）など欧州ccTLDが上位を占めます。EUのサイバーセキュリティ規制（GDPR・NIS2指令）が法的強制力を持ってメール認証設定を促進している構図が明確に示されています。

（※4）GDPR（ジーディーピーアール）
EU域内の個人データ保護を目的とした厳格な法規則。個人データの処理や移転に厳しい制限を課し、違反時には多額の制裁金が科されるのが特徴です。日本企業であってもEU居住者のデータを扱う場合は対象となるため、グローバル展開におけるプライバシー保護の国際基準となっています。
（※5）NIS2指令（エヌアイエスツーしれい）
EU全域のサイバーセキュリティ水準を底上げするための新たな法的枠組み。従来の対象範囲を大幅に拡大し、エネルギーや金融だけでなく製造や流通などの重要部門にも高度なリスク管理と報告義務を課します。サプライチェーン全体の安全性を重視しており、関連企業の対応が強く求められる仕組みです。
【GMOブランドセキュリティについて】（URL：https://brandsecurity.gmo）
　GMOブランドセキュリティは、”すべてのブランドにセキュリティを”というスローガンのもと、ブランド侵害リスクに対して、インターネットを中心に監視サービスや権利行使のサポートを提供しています。また、権利行使の前提となる商標やドメインネームの取得支援や管理サービスも提供しており、ワンストップでブランドを安心・安全な状態に導きます。
　GMOブランドセキュリティが提供するサービスは、国内を代表するグローバル企業をはじめ、2025年8月時点で約2,000社にご利用いただいています。

以上

【サービスに関するお問い合わせ先】
●GMOブランドセキュリティ株式会社　営業・マーケティング事業本部　マーケティング部　藤田
TEL：03-5784-1069
E-mail：mrk@brandsecurity.gmo

【 GMOブランドセキュリティ株式会社】（URL：https://brandsecurity.gmo）
所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー
代表者　　代表取締役社長　中川　光昭
事業内容　■企業ブランドの構築支援コンサルティング
　　　　　■ドメイン登録・更新・管理適正化
　　　　　■ドメインネーム権利者・使用実態調査及びリスク対策
　　　　　■商標登録支援等ブランド保護
　　　　　■商標権利者・使用実態調査及びリスク対策
　　　　　■模倣品・模倣サイト監視等リスク対策
　　　　　■ブランドTLD登録・活用支援
資本金　　1億円

【GMOインターネットグループ株式会社】（URL：https://group.gmo/）
会社名　　GMOインターネットグループ株式会社　（東証プライム市場　証券コード：9449）
所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー
代表者　　代表取締役グループ代表　熊谷　正寿
事業内容　持株会社（グループ経営機能）
　　　　　■グループの事業内容
　　　　　　インターネットインフラ事業
　　　　　　インターネットセキュリティ事業
　　　　　　インターネット広告・メディア事業
　　　　　　インターネット金融事業
　　　　　　暗号資産事業
資本金　　50億円

(C）2026 GMO BRAND SECURITY Inc. All Rights Reserved.