日経225のDMARC導入は9割超え、大学ドメインは38.4%にとどまる
TwoFiveとエンバーポイントは5月22日、なりすましメール対策の実態について調査結果を発表した。 【もっと写真を見る】
TwoFiveとエンバーポイントは5月22日、なりすましメール対策の実態について調査結果を発表した。 TwoFiveは、国内で流通しているメールのDNSレコードから送信ドメイン認証技術DMARC導入実態を調査し、毎年5月と11月に結果を公開したものの最新版で、今回は、日経225企業が管理・運用する5873ドメインと、教育機関として大学(国立、公立、私立、短大合わせて1117校が管理・運用する1万3860ドメイン)を対象として調査。 エンバーポイントによる調査は、メール大量配信システムの市場シェアトップの「Mail Publisher」(開発・提供:エンバーポイント)の実ユーザーについて、DMARC導入などのなりすましメール対策実態をまとめたもの。 日経225企業のDMARC導入・運用の実態 日経225企業は、全225社のうち206社(91.6%)が少なくとも一つのドメインでDMARCを導入しており、昨年同月(140社/62.2%)と比較すると1年間で29.4ポイント増加した(図1)。 この206社が運用するDMARC導入済み1861ドメインの内、認証失敗時の取り扱いを指定するDMARCポリシーの設定状況を見ると、強制力のあるquarantine(隔離)またはreject(拒否)にポリシー設定しているのは、現時点で全体の26.8%で、依然としてnone(何もしない)設定が大半だ。 これは、現状のGmailの新ガイドラインにおいて、まずは「p=none」のポリシー設定でもよいとされているため、「p=none」での導入が増加していることを示している。(図2)。 今後、Gmail対応に留まらず、なりすましメールを制御するために、強制力のあるポリシーに変更してステップアップしていくことが期待される。 また、DMARC認証を使って、正規の送信者が所有するブランドロゴをメールアプリケーションの受信トレイに表示するBIMI(Brand Indicators for Message Identification)が新しいなりすましメール対策として注目されているが、BIMIを利用するためにはquarantineまたはrejectのポリシー設定が必要となる。 Mail Publisher利用者のDMARC設定とDKIM署名の実態 Mail Publisher利用ユーザーのDMARC設定率は、5月時点で、全ドメインの84.3%/全流量数の93.1%。Mail PublisherでのDMARC設定率もTwoFiveによる調査結果と同様に、2023年11月頃から増加傾向を示し、2024年1月時点では、全ドメインの46.3%/全流量数の79.2%となり、4ヵ月間で、それぞれ38.0ポイント/13.9ポイント増加した(図3)。 DMARC認証には、SPFおよび/またはDKIMの認証結果が使用されるが、Mail Publisherは、送信メールに電子署名を付加するDKIMを使用し、作成者署名を設定できる(エンバーポイントが設定する第三者署名も利用可能)。このDKIM作成者署名の設定率を調査したところ、1月時点では、全ドメインの41.1%/全流量数の90.4%となり、4ヵ月間で、それぞれ34.0ポイント/8.3ポイント増加し、全ドメインの75.1%/全流量数の98.3%となった(図4)。 DKIMの作成者署名を利用してDMARC認証を成功させることでメール転送などの認証失敗を回避できることから、DMARC設定と併せてDKIMの作成者署名設定が増加していることは、適切なメール認証が実現しつつある状況といえる。 ワンクリック購読解除の設定状況について Google/(米)Yahoo!のメール送信者向け新ガイドラインでは、メール受信者が配信登録を容易に解除できるようにするために、RFC8058に準拠したList-Unsubscribeヘッダーを実装しなければならない。 Mail Publisherに新たに搭載された「ワンクリック購読解除機能」では、ヘッダーを自動的に付与して、要件に適合した配信が行えるサービスで、1月の提供開始から現在までのおよそ3ヵ月間で、全配信数の77.7%が利用している。 大学のDMARC導入実態について 調査対象は1117大学/1万3860ドメインで、内訳は、国立大学:86校/7115ドメイン、公立大学:101校/643ドメイン、私立大学:628校/4647ドメイン、短期大学:302校/1455ドメイン。結果は、全体のDMARC導入率は、昨年同月(1114大学4060ドメイン/9.4%)からは増加したものの、38.4%と非常に低く、なりすましメール対策が進んでいないと考えられるという(図5)。 また、DMARC導入済みの2890ドメインのうち、全体では83.2%がnoneのポリシー設定で、強制力のあるポリシー(quarantine、reject)への切り替えも今後の課題となる(図6)。 ■今回発表のなりすましメール対策実態調査について 調査時期:5月 調査対象:日経225企業が管理・運用する5873ドメイン 教育機関が管理運用するドメイン(1117大学、1万3860ドメイン) Mail Publisher利用者のドメイン 調査⽅法:調査対象ドメインおよびサブドメインのDNSレコードを調査 主な調査結果:各企業のドメインごとに以下の状況を把握している ・DMARCを導入しているかどうか ・DMARCのポリシー設定状況 「none(何もしないで受け取る)」「quarantine(隔離)」「reject(拒否)」 本調査結果のリリース全文はこちら。 文● ASCII