TwoFiveは2025年5月21日、なりすましメール対策に用いる送信ドメイン認証技術「DMARC」の導入状況調査の結果を発表した。毎年5月と11月に公開している調査結果の最新版となる。同年5月時点で、日経225企業の208社(92.4%)が少なくとも1つのドメインでDMARCを導入。1つ以上のドメインで強制力のあるポリシーを設定した組織は124社(55.1%)に上り、1年前の109社(48.4%)から6.7ポイント増加している。
「DMARC(Domain-based Message Authentication Reporting and Conformance、ディーマーク)」は、SPFとDKIMによる認証結果を基に、認証に失敗したメールのアクセスを制御し、認証結果をメール送信者と共有することで送信ドメイン認証を行う技術である(関連記事:対応急務!なりすまし/迷惑メール対策「DMARC」の仕組みと効果)。
メールセキュリティベンダーのTwoFiveは、DMARCの導入状況を定期的に調査し、結果を公開している。調査対象は日経225企業が管理・運用する8889ドメインなどで、DNSレコードを基に、主に以下の2項目を調査している。
- DMARCの導入有無
- DMARCのポリシー設定状況(none:何もしないで受け取る、quarantine:隔離、reject:拒否)と、DMARC集約レポートのモニタリング状況
毎年5月と11月に調査結果を公開している。DMARCの導入率は、前々回調査(2024年5月版)から9割を超え、91.6%(2024年5月)、92.0%(2024年11月)、92.4%(2025年5月)と高止まりしつつ微増している。図1は、初回調査(2022年2月)からのDMARC導入率の推移である。
図1:日経225企業 DMARC導入状況(n=225)(出典:TwoFive)拡大画像表示
- 2022年2月(79社/35.1%)
- 2022年5月(112社/49.8%):3カ月間で14.7%増加
- 2022年11月(124社/55.1%):半年間で5.3ポイント増加
- 2023年5月(140社/62.2%):半年間で7.1ポイント増加
- 2023年11月(153社/68.0%):半年間で5.8ポイント増加
- 2024年2月 臨時調査(193社/85.8%):3カ月間で17.8ポイント増加
- 2024年5月(206社/91.6%):3カ月間で5.8ポイント増加
- 2024年11月(207社/92.0%):半年間で0.4ポイント増加
- 2025年5月(208社/92.4%):半年間で0.4ポイント増加
導入率90%を超えた後は微増が続いているが、まだDMARCを導入していない日経225企業が17社(7.6%)ある。TwoFiveによると、これらのうち8社は、グループ会社の持株会社であり、事業会社と比較すると持株会社のメールドメインはDMARCの導入が遅れている傾向があるという。
「実際にはメールを送信しないドメインでも攻撃に利用される可能性があるため、組織ドメインに対してDMARCレコードを設定してポリシーをrejectにすることが望まれる」(同社)
DMARCポリシーは「何もしない」が依然として大半
DMARCポリシーの設定状況については、日経225企業のうち少なくとも1つのドメインで強制力のあるポリシー「quarantine」または「reject」を設定した組織は124社(55.1%)で、1年前の109社(48.4%)から6.7ポイント、半年前の114社(50.7%)からは4.4ポイント増加している(図2)。
図2:日経225企業 強制力のあるポリシー設定状況(出典:TwoFive)拡大画像表示
一方、適用ドメイン数で見ると、208社が運用するDMARC導入済み3367ドメインのうち、強制力のあるポリシーに設定しているのは現時点で642ドメイン、全体の19.1%にとどまっている。「none」設定によるモニタリング段階が大半で、この傾向は初回調査(31.7%)から現在まで変わっていない(図3)。
図3:日経225企業 DMARC導入ドメインのポリシー設定状況(出典:TwoFive)拡大画像表示
●Next:DMARCレポートのモニタリング状況
会員登録(無料)が必要です
