メールセキュリティなどを手掛ける日本プルーフポイントは、送信ドメイン認証技術「Domain-based Message Authentication Reporting and Conformance」(DMARC)の実施状況について、18カ国・地域における株式指数銘柄企業を対象に調べた結果を発表した。ポリシーレベルが厳しい「Reject(拒否)」「Quarantine(隔離)」を運用している企業の割合は、日本が最下位だった。
DMARCは、詐欺メールのドメインのなりすましを抑止する対策の1つ。なりすましメールに対するポリシーとして、Reject、Quarantine、「None(監視のみ)」の3つのレベルを設定でき、RejectとQuarantineでは、なりすましメールが受信箱に届く前に受信拒否、隔離を実施できる。
同社が2024年12月時点のDMARCの導入率とポリシー別の実施状況を調べた結果、まずDMARCの導入率では、オランダ(AEX)とスイス(SMI)、デンマーク(OMXC25)、ドイツ(DAX40)で100%だった。日本(日経225)は83%で前年同月から約20ポイント増加した。最低はタイ(SET50)の60%だった。欧米やオーストラリアでは80%台~100%、中東やアフリカでは60%台~90%台、日本を含むアジアでは60%台~80%台となっている。
2024年12月時点の主要18カ国・地域のDMARC導入率(出典:日本プルーフポイント)
ポリシー別の実施状況では、最もレベルが厳しいRejectの適用がオランダ(AEX)で76%、スイス(SMI)で75%だったのに対し、日本(日経225)は7%と18カ国・地域で最下位だった。さらに、Rejectと中レベルのQuarantineの合計でも、日本は20%(Quarantineの適用は13%)で最下位だった。この合計が高い国・地域は、92%のオランダや88%のデンマーク、85%のスイス、79%のスウェーデンなど欧州だった。一方、Noneの適用は日本が63%で特に高い。日本以外は8~40%となっている。
2024年12月時点の主要18カ国・地域のDMARCポリシー別導入率(出典:日本プルーフポイント)
調査結果について同社 サイバーセキュリティ チーフ エバンジェリストの増田幸美氏は、「メール脅威の中でもドメインの詐称は攻撃者にとって最も費用対効果の高い攻撃。労力せずして人を簡単にだますことができる。DMARCをRejectにすることで、その費用対効果が高い攻撃を封じ込めることができ、攻撃者はより見破られやすいローテクな攻撃に移行するか、あるいはより高度なアカウント乗っ取りの攻撃に移行せざるを得ず、攻撃実施のコストを増大させることができる。企業はサイバー攻撃から自社を守るためだけではなく、顧客や取引先、ひいては日本全体がメール脅威への耐性を持てるようDMARC対策を進めていただきたい」とコメントしている。
日経平均銘柄(日経225)企業におけるDMARC導入率およびポリシー別導入率の推移(出典:日本プルーフポイント)
