メッセージングセキュリティ企業のTwoFiveは5月21日、「日経225」構成企業におけるなりすましメール対策実態調査の最新結果を発表した。送信ドメイン認証技術の1つの「DMARC」の5月時点の導入率は92.4%に上り、前回調査の2024年11月からから0.4ポイント増加した。
「日経225」企業のDMARC導入の推移(n=225)、出典:TwoFive
調査では、日経225構成企業が管理、運用する8889ドメインを対象に、DMARCの運用状況も分析した。強制力のある「quarantine(隔離)」または「reject(拒否)」のポリシーを設定しているドメインは642件だった。少なくとも1つのドメインでこれらポリシーを設定しているのは124社(55.1%)に上り、2024年5月から6.7ポイント増加した。
「日経225」企業での強制力のあるポリシー設定状況の推移(n=225)、出典:TwoFive
「DMARC集約レポート」を受け取る設定にしているドメインは90.3%(前年同月84.3%)と高く、同社は「意図しないメール送信を見つけるために、メールがどのように認証され処理されたかを把握しようとする意識は高いと考えられる」と解説する。
なお、「none(何もしない)」ポリシーの設定では、メールの送信状況の可視化に有効であるものの、なりすましメールを制御できずメールボックスに到達してしまうとし、「DMARCを導入していてもnone設定によるモニタリング段階のドメインは攻撃者に狙われる。なりすましのリスクを軽減するために強制力のあるポリシー設定にステップアップすることが望まれる」(同社)とも指摘している。
DMARC未導入は17社(7.6%)あり、このうち8社は持株会社だった。事業会社に比べてDMARC導入が遅れているという。
また、調査では大学機関1075校の3158ドメインの状況も分析しており、大学のDMARC導入率は45.1%だった、前年同月から6.7ポイント増加したが、「Google、米Yahoo!のガイドラインの影響が大きかった2024年の増加(27.1ポイント)には及ばなかった」(同社)と指摘している。
大学別のDMARC導入状況(n=1075)、出典:TwoFive
