[調査・レポート]

2022年11月10日(木)IT Leaders編集部

リスト

　メールセキュリティベンダーのTwoFiveは、なりすましメール対策に用いる送信ドメイン認証技術「DMARC」の対応（導入）状況を調査した。今回の調査（同年8月、10月、11月実施）では、日経225企業のうち124社（55.1%）が、メール送信者側としてのDMARC対応を行っていた（図1）。前回調査（同年2月、5月実施）の112社（49.8%）と比べて、半年で5.3%増えた（関連記事：日経225企業の半数がなりすましメール対策に「DMARC」を導入─TwoFive調査）。

図1：日経225企業におけるDMARCの導入状況（n=225）（出典：TwoFive）
拡大画像表示

　日経225企業が管理・運用する5047ドメインを対象に、DNSレコードを調査した。DNSレコードから、(1)DMARCを導入しているか、(2)DMARCのポリシー設定状況（none：何もしないで受け取る、quarantine：隔離、reject：拒否）、(3)DMARCレポート先（ruaタグ、rufタグ）の指定状況、の3つの項目を調べた。今回はさらに、日経225だけでなく、金融、流通、製造にフォーカスし、証券コードを付与した企業に対象を広げて調べた（金融715ドメイン、流通3115ドメイン、製造6546ドメイン）。

　なお、DMARC（Domain-based Message Authentication, Reporting & Conformance、ディーマーク）は、メールのなりすまし対策に利用する送信ドメイン認証の仕組み（RFC 7489）。メールサーバーをIPアドレスで判定するSPF（Sender Policy Framework）と、電子署名で判定するDKIM（DomainKeys Identified Mail）という2つの送信ドメイン認証技術を利用する。2つの認証技術の結果を基に、認証に失敗したメールのアクセス制御を行い、認証結果をメール送信者と共有する（関連記事：TwoFive、なりすましメール可視化サービス「DMARC/25」を強化、メールを送信した企業に通報可能に）。

日経225企業の55.1%がDMARCを導入

　11月に実施した調査では、日経225社の124社（55.1%）が、メール送信者側としてのDMARC対応を施していた。5月調査の112社（49.8%）と比べると、半年で12社（5.3%）増えた。ドメイン数では、11月時点で全5047ドメインのうち932ドメイン（18.4%）がDMARCを導入していた（5月の調査から276ドメイン、6.3%増えた）。

　なりすましと判定した場合にどう取り扱うかを指示するDMARCポリシーについては、none（何もしないで受け取る）の増加が顕著であるのに対し、強制力を持つポリシーであるquarantine（隔離）やreject（拒否）の増加は緩やかである（図2）。これにより、強制力を持つポリシーの比率は、5月調査の33.5%から11月調査の30.6%へと下がっている。

図2：日経225企業におけるDMARC導入ドメインのポリシー状況（n=932）（出典：TwoFive）
拡大画像表示

　DMARC導入後の運用で重要となる、DMARCレポートを受け取る設定（ruaタグ、rufタグ）については、いずれも未設定が多いため、これらを設定しているドメインの割合は減少している（図3、図4）。DMARC集約レポートを受け取るruaタグの設定率は、5月調査の86.3%から11月調査では66.0%へと減っている。DMARC失敗レポートを受け取るrufタグの設定率は、5月調査の39.2%から11月調査では26.7%へと減っている。

図3：日経225企業におけるDMARC集約レポートのモニタリング状況（n=932）
拡大画像表示

図4：日経225企業におけるDMARC失敗レポートのモニタリング状況（n=932）
拡大画像表示

　調査対象を日経225以外にも拡大した場合、DMARCの導入率は、日経225企業だけの結果（11月調査の55.1%）よりも低い。金融では25.7%、流通では14.5%、製造では20.3%である。また、強制力のあるポリシー（p=quarantine、reject）の比率は、金融、流通、製造の平均で29.2%であり、日経225の平均（30.6%）とほぼ同等ながら若干低い（図5）。

図5：金融・製造・流通業のDMARCポリシー設定状況（2188組織/1万376ドメイン）（出典：TwoFive）
拡大画像表示