Gmailの新ガイドラインで、DMARC導入が急加速 日経225のDMARC導入率85.8%で、3ヶ月で17.8ポイント増加
TwoFiveなりすましメール対策実態調査 2024年2月版
メッセージングセキュリティのリーディングカンパニーである株式会社TwoFive(本社:東京都中央区、代表取締役 末政 延浩)は、2024年2月版のなりすましメール対策実態調査結果を発表しました。
TwoFiveは、毎年5月と11月に送信ドメイン認証技術DMARC導入実態調査の結果を公開していますが、今回の2月版調査結果では、昨年10月に発表されたGoogle /米Yahoo!の迷惑メール対策強化のための送信者向け新しいガイドラインを受けての変化を見るために、2023年11月~2024年2月の調査結果をまとめています。
調査対象は、日経225企業が管理・運用する8,545ドメインです。
日経225企業は、2024年2月時点で、193社(85.8%)が少なくとも1つのドメインでDMARCを導入しており、前回調査の11月と比較すると3カ月間で17.8ポイント増加し、前回調査における1年間の増加12.9ポイントを、3カ月間で上回っています。
新しいガイドラインは、1日当たり5,000通を超える規模の大量送信をする場合は、DMARC導入必須とし、このガイドラインの条件を満たせない場合は、受信拒否や迷惑メール扱い、流量制限など何らかの制限を行うというもので、Googleは今年2月からGmailに適用するとしていることから、DMARCを導入した企業が急激に増加したと考えられます。
また、米Yahoo!も、2024年第1四半期から適用としており、今後更にDMARC導入が加速するものと期待されます。
2023年11月~2024年2月に、初めてDMARCを導入した企業は40社です。業種セクター別では、電気機器・自動車・通信などを含む「技術 (n=61)」が10社、銀行・証券・保険などを含む「金融 (n=20)」が3社、食品・小売業・サービスを含む「消費 (n=35)」が6社、化学、鉄鋼、商社などを含む「素材 (n=52)」が9社、機械・建設・不動産などを含む「資本財・その他 (n=35)」が6社、陸運・電力・ガスなどを含む「運輸・公共(n=22)」が6社でした。
日経225企業のDMARC導入済みドメイン(2,825ドメイン)は、それぞれ認証に失敗した際の取り扱いを指示するDMARCのポリシーが設定されており、「quarantine(隔離)」「reject(拒否)」を設定することでなりすましメール対策が有効となりますが、2024年2月時点では、「none(何もしない)」が大半(85.3%)を占めています。
ちなみに、新しいガイドラインでは、「p=none」のポリシー設定でよいとされています。
また、「DMARC集約レポート」を受け取る設定にしているドメインの割合は、2024年2月時点で、91.3%と非常に高いですが、一方で「DMARC失敗レポート」を受け取る設定にしているドメインの割合は、21.8%にとどまっています。意図しないメール送信を見つけるために、メールがどのように認証され処理されたかを把握しようするために、「DMARC集約レポート」を主に活用していると考えられます。
新しいガイドラインでは、1日5,000通に満たない規模の送信者も含めた全ての送信者向けに、DKIM / SPFの設定、暗号化のためのTLS(Transport Layer Security)の使用、メッセージ形式など様々な条件が示されており、TwoFiveは、大量送信者のDMARC導入だけでなく、各組織の対応支援に積極的に取り組んでまいります。
調査結果は以下の通りです。
グラフを以下でご覧いただけます。
www.twofive25.com/news/20240209_dmarc_report.html
● 日経225企業DMARC導入状況
日経225企業の導入比率は、2023年11月から過去を上回るポイントで増加し続け、2024年2月時点では、全225社の内193社(85.8%)が少なくとも1つのドメインでDMARCを導入しており、3ヶ月前と比較すると17.8ポイント増加しています。
● 日経225企業 DMARC導入ドメインのポリシー設定状況
193社(全225社の85.8%)が運用するDMARC導入済み2,825ドメインの内、強制力のあるポリシー(quarantine、reject)に設定しているのは、現時点で14.7%であり、none設定によるモニタリング段階が大半で、3ヶ月前(24.4%)から全体比率は増えていません。
● 日経225企業 DMARC集約レポート/失敗レポートモニタリング状況
DMARC集約レポートを受け取る設定(ruaタグあり)にしてモニタリングを実施しているドメインの割合は、91.3%と非常に高いことから、意図しないメール送信を見つけるための可視化については意識が高まっている状態が続いていると考えられます。
一方、DMARC失敗レポートを受け取る設定(rufタグあり)にしてモニタリングを実施しているドメインの割合は、21.8%にとどまっており、これはDMARC集約レポートと比較して、DMARC失敗レポートの流通量が極端に少ないため、効果的な活用につながっていない実情が伺える結果といえます。
◆ 今回発表するなりすましメール対策実態調査について
◇調査期間:2023年11月~2024年2月
◇調査対象:日経225企業が管理・運用する8,545ドメイン
◇調査方法:調査対象ドメインおよびサブドメインのDNSレコードを調査
◇主な調査結果:各企業のドメインごとに以下の状況を把握しています。
・DMARCを導入しているかどうか
・DMARCのポリシー設定状況
「none(何もしない)」「quarantine(隔離)」「reject(拒否)」
※Googleの「メール送信者のガイドライン」は以下に掲載されています。
support.google.com/a/answer/81126
※TwoFiveは、DMARC導入などのなりすましメール対策実態について継続的に調査しています。
過去の調査結果を以下でご覧いただけます。
2023年11月発表
www.twofive25.com/news/20231106_dmarc_report.html
2023年5月発表
www.twofive25.com/news/20230518_dmarc_report.html
2022年11月発表
www.twofive25.com/news/20221110_dmarc_report.html
2022年5月発表
www.twofive25.com/news/20220519_dmarc_report.html
■株式会社TwoFiveについて
www.twofive25.com/
株式会社TwoFiveは、大手ISP、ASP、携帯事業者、大手企業の大規模電子メールシステムインフラの構築・サポートで長年経験を蓄積した技術者集団により、メールシステムの構築、メールセキュリティ、スレッドインテリジェンスを事業の柱として2014年に設立。国内外の優れた製品/ソリューションに技術サービスを組み合わせて提供してきました。現在は、所属する業界団体や関連サービスの提供ベンダーと協業し、メールシステムだけでなく、多様なメッセージング分野の新しい課題に取り組んでいます。また、海外ベンダーとの充実したネットワークを活かして、メッセージング分野に限定せず、日本のDXを支える優れた製品・ソリューションを日本市場に紹介しています。東京本社の他、ハノイにベトナム支社があり、開発、サポートを行っています。