[調査・レポート]

2023年5月19日(金)日川 佳三（IT Leaders編集部）

リスト

　メールセキュリティベンダーのTwoFiveは、なりすましメール対策に用いる送信ドメイン認証技術「DMARC」の導入状況を調査した。今回の調査（2023年1月～5月実施）では、日経225企業のうち140社（62.2%）が、メール送信者側として少なくとも1つのドメインでDMARCを導入していた。

　前回調査（2022年8月、10月、11月実施）の124社（55.1%）と比べると、半年で7.1%増えた（関連記事：日経225企業の55.1%がなりすましメール対策に「DMARC」を導入─TwoFive調査）。前年同時期（2022年2月、5月実施）の112社（49.8%）と比べると、1年で12.4%増えている（関連記事：日経225企業の半数がなりすましメール対策に「DMARC」を導入─TwoFive調査）。

　調査では、日経225企業が管理・運用する5261ドメインを対象に、DNSレコードを調査した。DNSレコードから、(1)DMARCを導入しているか、(2)DMARCのポリシー設定状況（none：何もしないで受け取る、quarantine：隔離、reject：拒否）、(3)BIMIレコードの設定状況とBIMIの要件であるVMC（認証マーク証明書）の指定状況の3項目を調べた。

　なお、DMARCは、メールのなりすまし対策に利用する送信ドメイン認証の仕組み（RFC 7489）である。SPF/DKIMの2つの認証技術の結果を基に、認証に失敗したメールのアクセスを制御し、認証結果をメール送信者と共有する（関連記事：TwoFive、なりすましメール可視化サービス「DMARC/25」を強化、メールを送信した企業に通報可能に）。

日経225企業の140社・62.2％がDMARCを導入

　日経225企業のうち140社（62.2%）が、少なくとも1つのドメインでDMARCを導入していた。調査を開始した2022年2月から見ると27.1%、1年前の2022年5月と比べると12.4%増えている（図1）。

図1：日経225企業におけるDMARC導入状況（n=225）（出典：Two Five）
拡大画像表示

　140社が運用するDMARC導入済み971ドメインのうち、強制力のあるポリシー（quarantine、reject）を設定しているケースは、現時点で全体の31.7%であり、none設定によるモニタリング段階が大半で、1年前（33.5%）と比べて増えていない（図2）。これに対して同社は「今後、強制力のあるポリシーに変更し、なりすましメールを制御する段階にステップアップしていくことが期待される」とコメントしている。

図2：日経225企業におけるDMARC導入ドメインのポリシー設定状況（出典：Two Five）
拡大画像表示

23.2％がBIMIを設定するも、うち29.1%は設定に不備

　今回から調査項目に加えたBIMI（Brand Indicators for Message Identification）は、DMARCと組み合わせて使う、メールのなりすまし対策規格である（関連記事：TwoFive、なりすましメール対策規格「BIMI」認証マーク証明書を販売、DMARCと共に運用支援）。PKIベンダーがメール送信者に発行する「認証マーク証明書」（VMC：Verified Mark Certificates）のロゴをメールソフトウェアの画面に表示することで、受信者は正規のメールを見分けやすくなる。

　2023年4月時点では、3724ドメインがDNS上にBIMIレコードを設定していた。「BIMIへの注目が高まりつつある」（同社）としている。しかし、ロゴの所有証明のために必要となる認証マーク証明書（VMC）を設定しているのは865ドメイン（設定率：23.2%）だった（図3）。BIMIのロゴを表示する機能を備えている主要メールサービスはVMCを必須条件としていることから「VNCの設定率は今後高まることが期待される」と同社は見ている。

図3：BIMIを設定済みであるメールドメインの状況（n=3724）（出典：Two Five）
拡大画像表示

　一方、VMCを設定している865ドメインのうち29.1%に相当する252ドメインには、何らかの設定不備があった。設定不備で最も多いのは、VMCに指定したドメイン名とBIMIレコードのドメイン名が一致しないケース（122ドメイン）である。これ以外では、VMCの有効期限が過ぎたケース（58ドメイン）と、画像情報の不一致（33ドメイン）を確認した（図4）。

図4：BIMIにおける設定不備の内訳（n=252）（出典：Two Five）
拡大画像表示