メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)は、なりすましメール対策実態調査の最新結果を発表しました。
今回は、日経225企業が管理・運用する7,615ドメインについて2024年11月時点での送信ドメイン認証技術DMARC導入実態調査に加えて、10月1日~31日の期間で、メールサービスの受信側DMARC対応状況を調査しました。
日経225企業は、2024年11月時点で207社(92.0%)が少なくとも1つのドメインでDMARCを導入しており、半年前の2024年5月(91.6%)からは0.4ポイントの増加ですが、昨年同月と比較すると1年間で24.0ポイントの増加となります。
一方で、DMARC導入済みドメインの内、強制力のあるポリシーquarantine(隔離)またはreject(拒否)にポリシー設定されているドメイン数は622ドメイン確認されました。日経225企業で、少なくとも1つのドメインで強制力のあるポリシーを設定した組織は114社(50.7%)で、1年前の37.3%から進展が見られます。
「DMARC集約レポート」を受け取る設定にしているドメインの割合は、88.6%で依然として非常に高く、意図しないメール送信を見つけるために、メールがどのように認証され処理されたかを把握しようとする意識は高いと考えられます。
しかしながら、ポリシーがnone(何もしない)の設定では、メール送信状況を可視化するには有効ですが、なりすましメールを制御できず、なりすましメールはメールボックスに届いてしまいます。DMARCを導入していても、none設定によるモニタリング段階のドメインは攻撃者に狙われますので、なりすましのリスクを軽減するためには、強制力のあるポリシー設定にステップアップすることが望まれます。
受信側のメールサービスについては、TwoFiveが提供するDMARCレポート分析サービス「DMARC/25」が観測したDMARCレポートデータを基にして、2024年10月1日~31日の期間で調査を実施しました。その結果、DMARCポリシーに従ったなりすましメールの処理をする受信側のメールサービスは664サービスが確認され、昨年同時期の349サービスの2倍に増加しました。
DMARCが登場した当初は、DMARCの仕様上、国内のメールサービス事業者などの第三者がメールの検証結果を知ることは通信の秘密を侵害するという見方がありましたが、2022年頃からGmailやYahoo!メール、Microsoftなど大手メールサービスプロバイダがDMARCに対応するようになり、国内では総務省が法的な留意点を発表するなどにより、国内のメールサービス事業者も受信側のDMARC対応が進んでいると考えられます。
DMARCは、送信側だけでなく受信側も対応してこそ効果が最大化されますが、全体的に、送信側のDMARC対応に比べて、受信側のDMARC対応が進んでいない傾向にあり、今後、受信側のDMARC対応が増加することが期待されます。
TwoFiveは、DMARCおよびBIMIの導入技術支援、DMARCレポート解析サービス、DMARCレポート作成サービスなどを提供していますが、今後も、DMARCおよびBIMI導入を促進する啓発活動や効果的に運用するためのサポートに尽力して参ります。
調査結果の全体を以下でご覧いただけます。
https://www.twofive25.com/download/#whitepaper
調査結果のサマリーは以下の通りです。
各図(グラフ)は以下でご覧ください。
https://www.twofive25.com/news/20241111_dmarc_report.html
https://www.twofive25.com/news/press/pdf/20241111_dmarc_report.pdf
● 日経225企業のDMARC導入実態について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
●日経225企業のDMARC導入実態について
日経225企業は、全225社の内207社(92.0%)が少なくとも一つのドメインでDMARCを導入しており、調査を開始した2022年2月と比較すると56.9ポイント、昨年同月と比較すると1年間で24.0ポイント増加しています(図1)。
この207社のうち少なくとも1つのドメインで強制力のあるポリシー(quarantine、reject)に設定しているのは、114社あり、全体の50.7%まで増えています(図2)。DMARC導入割合は2023年11月から2024年5月の半年間で急増しましたが、強制力のあるポリシーについては、今後各社で対応が進むことが期待されます。
一方、ドメイン数でみると、207社が運用するDMARC導入済み2,912ドメインの内、強制力のあるポリシーに設定しているのは、現時点で21.4%であり、none設定によるモニタリング段階が大半で、1年前(24.4%)から全体比率は増えていません(図3)。
しかし、DMARC集約レポートを受け取る設定にしてモニタリングを実施しているドメインの割合は、88.6%と非常に高いことから(昨年同月は94.4%)、意図しないメール送信を見つけるための可視化についての意識は依然として高い状況です(図4)。
一方、DMARC失敗レポートのモニタリングを実施しているドメインの割合は、27.5%にとどまっており(図5)、これはDMARC集約レポートと比較して、DMARC失敗レポートの流通量が極端に少ないため、効果的な活用につながっていない実情が伺える結果といえます。
図1. 日経225企業 DMARC導入状況(n=225)
図2. 日経225企業 強制力のあるポリシー設定状況
図3. 日経225企業 DMARC導入ドメインのポリシー設定状況
図4. 日経225企業 DMARC集約レポートモニタリング状況
図5. 日経225企業 DMARC失敗レポートモニタリング状況
● 受信側メールサービスのDMARCポリシー適用の実態調査について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
TwoFiveが提供するDMARCレポート分析サービス「DMARC/25」において、DMARCレポート提供に対応した国内・海外のメールサービス事業者は、2024年10月には3,182サービスが確認されており、昨年同月の1,997サービスから1,185サービス増加しました(図6)。
そのうち、DMARCポリシーに従った処理(隔離措置または拒否措置)をするメールサービスに限った場合には、664サービス確認されており、この1年で約2倍に増えています。
また、2023年10月は、DMARCポリシー適用した受信メールサービスの通数割合の上位20の中に国内サービスが4サービスでしたが、2024年10月では上位20サービスのうち国内サービスが8サービスを占めています。ポリシーに従った処理がされたメールの通数割合は、昨年の12.0%から47.6%に35.6ポイント増加しました(図7)。
図6. 受信側でのDMARCレポート対応サービス数(2023年10月、2024年10月)
図7. 受信側でのポリシー適用サービス上位20とその割合(2023年10月、2024年10月)
◆ 今回発表するなりすましメール対策実態調査について
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◇調査時期:2023年10月、2024年10月、11月
◇調査対象:日経225企業が管理・運用する7,615ドメイン(2024年11月)
TwoFiveが分析したDMARCレポートデータ(2023年10月、2024年10月)
◇調査方法:調査対象ドメインおよびサブドメインのDNSレコードを調査
調査対象DMARCレポートデータのdisposition結果を集計・調査
◇主な調査結果:各企業のドメインごとに以下の状況を把握しています。
・DMARCを導入しているかどうか
・DMARCのポリシー設定状況
「none(何もしない)」「quarantine(隔離)」「reject(拒否)」
・DMARCレポータデータのdisposition(なりすましメールの処理結果)
「quarantine(なりすましとして隔離した)」「reject(なりすましとして拒否した)」
………………………………………………………
※TwoFiveは、DMARC導入などのなりすましメール対策実態について継続的に調査しています。
過去の調査結果を以下でご覧いただけます。
2022年5月発表
https://www.twofive25.com/news/20220519_dmarc_report.html
2022年11月発表
https://www.twofive25.com/news/20221110_dmarc_report.html
2023年5月発表
https://www.twofive25.com/news/20230518_dmarc_report.html
2023年11月発表
https://www.twofive25.com/news/20231106 _dmarc_report.html
2024年2月発表
https://www.twofive25.com/news/20240209_dmarc_report.html
2024年5月発表
https://www.twofive25.com/news/20240522_dmarc_report.html
………………………………………………………
※DMARCの仕組み、TwoFiveが提供するクラウド型DMARC分析サービス「DMARC / 25 Analyze」の詳細は以下をご参照ください。
https://www.dmarc25.jp/
※BIMIの仕組み、TwoFiveが提供するBIMI 技術サービスの詳細は以下をご参照ください。
https://www.twofive25.com/service/bimi.html
__________________________
■株式会社TwoFiveについて
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
https://www.twofive25.com/
株式会社TwoFiveは、大手ISP、ASP、携帯事業者、大手企業の大規模電子メールシステムインフラの構築・サポートで長年経験を蓄積した技術者集団により、メールシステムの構築、メールセキュリティ、スレッドインテリジェンスを事業の柱として2014年に設立。国内外の優れた製品/ソリューションに技術サービスを組み合わせて提供してきました。現在は、所属する業界団体や関連サービスの提供ベンダーと協業し、メールシステムだけでなく、多様なメッセージング分野の新しい課題に取り組んでいます。また、海外ベンダーとの充実したネットワークを活かして、メッセージング分野に限定せず、日本のDXを支える優れた製品・ソリューションを日本市場に紹介しています。東京本社の他、ハノイにベトナム支社があり、開発、サポートを行っています。
━◆ 報道関係者 お問い合わせ ◆━━━━━━
株式会社TwoFive 担当:渋谷
03-5704-9948
[email protected]