メールセキュリティなどを手掛けるTwoFiveは2月9日、日経平均株価構成企業(日経225)のなりすましメール対策実態調査の最新結果を発表した。「DMARC」(Domain-based Message Authentication Reporting and Conformance)導入率が前回調査の2023年11月時点から17.8ポイント増加し、Googleが「Gmail」で導入した新たな「メール送信者のガイドライン」への対応が進んだ影響だとしている。
この調査は、日経225企業が管理・運用するドメインとサブドメインのDNSレコードを対象に、送信ドメイン認証技術のDMARCの導入実態を把握する目的で、2022年から5月と11月に実施され、今回で5回目となる。今回は、2023年10月にGoogleと米Yahooが迷惑メール対策の新ガイドラインを発表したことで、2023年11月~2024年2月における8545ドメインでのDMARCの導入状況を調べた。
調査結果によると、DMARC導入企業は前回調査の153社から今回は193社に増加し、導入率は68.0%から85.8%に上昇した。導入率の上昇は、2023年5~8月が2.5ポイント、同8~11月が3.1ポイントだったが、2023年11月~2024年2月は17.8ポイントになり、特に2024年1~2月だけで13.4ポイントも上昇している。
日経225企業でのDMARC導入の推移(出典:TwoFive)
Googleは、2024年2月から新ガイドラインを実施するとしており、この中でGmailへ1日当たり5000件以上のメールを送信する送信者からのメールを対象にDMARC検疫ポリシーを適用するため、送信者にドメインでDMARCメール認証を設定するよう求めている。非準拠などの場合、Gmailユーザーへのメールがなりすましなどの不正メールと判断され、ブロックされるなどの可能性がある。
TwoFiveの最新調査によれば、2023年11月~2024年2月に40社がDMARCを新たに導入した。内訳は、技術系が10社、金融系が3社、消費関連が6社、素材が9社、資本財・その他が6社、運輸・公共が6社となっている。
DMARCでは、認証に失敗したメールの取り扱いについて、「受信箱に入れる:none」「迷惑メールとする:quarantine」「受信をブロックする:reject」などのポリシーを設定できる。今回調査では、強制力のあるポリシー(quarantineとreject)を設定している企業の割合が14.7%だった。前回調査の18.7%から4ポイント減少したが、調査対象期間中にDMARC導入企業が大きく増加した状況を考慮すると、強制力のあるポリシーを設定する企業の割合はおおむね横ばいで、「none設定によるモニタリング段階が大半(2023年11月時点24.4%)で、全体比率は増えていない」(同社)という。
日経225企業でのDMARC導入ドメインのポリシー設定状況(出典:TwoFive)
また、DMARC集約レポートを受け取る設定でモニタリングを実施しているドメインの割合は91.3%、DMARC失敗レポートを受け取る設定でモニタリングを実施しているドメインの割合は21.8%で、TwoFiveでは「意図しないメール送信を見つけるための可視化については意識が高まっている状態だが、DMARC失敗レポートの流通量がDMARC集約レポートに比べて極端に少ないため、効果的な活用につながっていない実情がうかがえる」と分析している。
